关键漏洞信息 标题 不安全使用 : 本地攻击者可在文档同步过程中执行任意OS命令 影响产品 产品: LuLu UI 项目仓库: https://github.com/yued-fe/lulu 组件文件: https://github.com/yued-fe/lulu/blob/cf881081152b3b1d5f23aefe0c91ad1d656b1712/run.js 漏洞总结 类型: OS命令注入 / 远程代码执行(CWE-78) 攻击向量: 本地 / 供应链 需要身份验证: 不需要 CVSS v3.1 (建议) 向量: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 分数: 8.4 (高) 技术根本原因 使用 : 通过字符串拼接命令执行 : 通过系统shell( 或 )执行命令,未对参数进行逃逸或验证 未使用 : 未校验Git仓库完整性和分支内容 影响 任意OS命令执行 开发人员或CI环境的完全被攻陷 通过修改文件持久后门 共享系统中的横向移动 供应链被攻陷,恶意工件被传播 参考文献 Node.js 文档 OWASP 命令注入 CWE-78 项目