Rust < 1.77.2 Windows命令注入漏洞 (CVE-2024-24576)

漏洞类型 参数注入或修改 发现时间 2024-04-10 漏洞等级 严重
MPS编号 MPS-6mz0-wlgh CVE编号 CVE-2024-24576 漏洞影响广度 广

漏洞危害

OSCS 描述
Rust 是一种系统级编程语言,由 Mozilla 开发,旨在提供安全性、并发性和性能。
Rust 标准库在 Windows 上使用 Command API 调用批处理文件(.bat/.cmd)时,未正确转义参数。该风险在2011年已经在微软文档中提及,但仍存在多个语言实现不当。
当应用中存在外部可控的批处理文件调用时,攻击者可通过控制传递给生成进程的参数实现命令注入,绕过转义从而执行任意系统命令。
其他平台或 Windows 上的其他用途都不受影响。
参考链接:https://www.oscs1024.com/hd/MPS-6mz0-wlgh

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
std (-∞, 1.77.2) 升级 将组件 std 升级至 1.77.2 及以上版本
rust (-∞, 1.77.2) 升级 将 rust 升级至 1.77.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-6mz0-wlgh

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-6mz0-wlgh

https://nvd.nist.gov/vuln/detail/CVE-2024-24576

https://www.rust-lang.org/policies/security

https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html

https://groups.google.com/g/rustlang-security-announcements/c/_MdkIbEZN44

(0)
上一篇 2024年4月9日 下午2:00
下一篇 2024年4月12日 下午12:00

相关推荐

  • Helm < 3.14.1 路径遍历漏洞 (CVE-2024-25620)

    漏洞类型 路径遍历 发现时间 2024-02-15 漏洞等级 中危 MPS编号 MPS-2si9-mtja CVE编号 CVE-2024-25620 漏洞影响广度 广 漏洞危害 OSCS 描述 Helm 是一个用于管理 Charts 的工具。Charts 是预配置的 Kubernetes 资源的包。 Helm 客户端或 SDK 在保存 Chart 目录时未验…

    2024年2月16日
    0
  • Atlassian Confluence Data Center/Server 模板注入漏洞 (CVE-2023-22522)

    漏洞类型 代码注入 发现时间 2023-12-06 漏洞等级 严重 MPS编号 MPS-2023-0023 CVE编号 CVE-2023-22522 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Atlassian Confluence Data Center/Server 受影…

    2023年12月8日
    0
  • Atlassian Confluence 远程代码执行漏洞 (CVE-2024-21683)

    漏洞类型 代码注入 发现时间 2024-05-22 漏洞等级 高危 MPS编号 MPS-gx20-hrqc CVE编号 CVE-2024-21683 漏洞影响广度 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 其内部审计发现Confluence Data Center和Server版本5.2中引入了…

    漏洞 2024年5月24日
    0
  • Zabbix Server Audit Log SQL注入导致RCE (CVE-2024-22120)

    漏洞类型 SQL注入 发现时间 2024-05-20 漏洞等级 严重 MPS编号 MPS-ytof-ah8v CVE编号 CVE-2024-22120 漏洞影响广度 漏洞危害 OSCS 描述 Zabbix 是开源的网络监控工具,用于监控网络服务、服务器和网络设备的性能和可用性。 受影响版本中,由于 audit.c 中的 zbx_auditlog_global…

    漏洞 2024年5月21日
    0
  • Node.js 存在权限提升漏洞 (CVE-2024-21892)

    漏洞类型 权限管理不当 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-lvsi-p1yd CVE编号 CVE-2024-21892 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境,CAP_NET_BIND_SERVICE 是Linux操作系统中的一种特殊能力(capabil…

    2024年2月22日
    0