关键漏洞信息 漏洞描述 允许查询的安全使用。 为了允许安全地使用查询和搜索参数,参数不再被视为值,而是作为位置参数解析。 通过这种方式,可以注册 "kleopatra --query -- $1" 作为 openpgp4fpr 的 URL 处理器,而无需通过未转义的查询字符串面临命令注入的风险。 类似地,双破折号应在文件处理中使用,以避免通过文件名进行命令行注入。 关键代码更改 kleopatra_options.h kleopatraapplication.cpp 安全注释 增加了注释说明,强调通过位置参数解析来避免代码执行或命令注入的风险,特别是在使用 URL 处理器时。 相关代码段 的使用,确保 和 选项的安全性。 文件路径处理的改进,避免通过文件名进行命令注入。