命令注入漏洞总结 漏洞概述 是一个用于项目脚手架的工具,其版本 2.8.6 到 3.3.1 存在命令注入漏洞。该漏洞源于对用户输入的不当处理,攻击者可以通过构造恶意 git 仓库名称,在服务器上执行任意操作系统命令。 影响范围 受影响包: 受影响版本: 2.8.6 到 3.3.1 修复方案 升级到 版本 3.3.1 或更高版本。 利用代码 (PoC) 1. Web-Based Project Scaffolding 2. CI/CD Pipeline Injection 3. Developer Machine via Malicious Package