从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - Rust标准库在Windows上使用 和 API时,没有正确地转义批处理文件(带有 和 扩展名)的参数。 - 攻击者可以控制传递给子进程的参数,从而执行任意shell命令,绕过转义。 2. 漏洞严重性: - 如果在Windows上使用未信任的参数调用批处理文件,该漏洞的严重性为“critical”。 - 其他平台或用途不受影响。 3. 漏洞识别: - 漏洞由CVE-2024-24576标识。 4. 概述: - 和 API在文档中表示它们将参数原样传递给子进程,无论参数内容如何,也不会由shell评估。 - 在Windows上,由于Windows API仅提供一个包含所有参数的字符串,子进程需要自己解析参数。 5. 缓解措施: - 由于 的复杂性,没有找到一种可以安全转义所有参数的方法。 - 改进了转义代码的健壮性,并在无法安全转义参数时返回 错误。 - 修复将在Rust 1.77.2中包含,并将在今天晚些时候发布。 6. 受影响版本: - 所有在Windows上运行的Rust版本在1.77.2之前都受影响,如果代码或依赖项执行带有未信任参数的批处理文件。 - 其他平台或Windows上的其他用途不受影响。 7. 致谢: - 感谢RyotaK和Simon Sawicki(Grub4K)报告漏洞,并感谢Rust项目成员的贡献,包括Chris Denton、Mara Bos、Pietro Albini、Manish Goregaokar、Josh Stone和Amanieu d'Antras。 这些信息提供了关于漏洞的详细描述、影响范围和缓解措施。