漏洞概述 标题: Path Traversal via Malicious Package Metadata.Name — Arbitrary File Write CVE ID: CVE-2024-40090 CVSS 评分: 7.1 / 10 (High) 发布时间: 3 days ago 描述: 和 子命令在构建输出文件路径时,使用了攻击者可控的 字段。虽然该字段在创建时经过正则校验,但攻击者可以修改 SBOM.tar 中的文件内容,将 更改为包含路径遍历序列(如 )或根路径。由于代码在构建文件路径前未对包名进行清理或验证,导致任意文件写入漏洞。 影响: 该漏洞影响在不受信任的包上运行 或 的用户。 修复方案: 已修复版本: 临时规避措施: 避免检查未签名的包。 POC 代码 SBOM inspection: Documentation inspection (line 1219): 利用原理: 直接从不受信任的包的 清单中读取。攻击者可以构造一个恶意 包,其中 包含路径遍历序列或根路径,例如: 或 。