漏洞关键信息 漏洞类型: 远程命令执行和不安全的文件处理 受影响组件: Fileutils 0.7 Ruby Gem 漏洞原因: - 文件在 /tmp 目录中不安全地处理,可被恶意用户操纵。 - 在执行时没有对传递的 URL 进行清理,可能导致命令注入。 具体问题: - 文件中处理文件时,创建临时目录 ,可能被劫持。 - 方法中,文件名含有分号等特殊字符时,可执行任意命令。 - 文件中,临时文件路径生成时,可能被利用创建链接覆盖任意文件。 漏洞代码示例 漏洞位置 文件中,问题行号为 86 - 92。 文件中,第 27 行有命令注入的风险。