Rust < 1.77.2 Windows命令注入漏洞 (CVE-2024-24576)

漏洞类型 参数注入或修改 发现时间 2024-04-10 漏洞等级 严重
MPS编号 MPS-6mz0-wlgh CVE编号 CVE-2024-24576 漏洞影响广度 广

漏洞危害

OSCS 描述
Rust 是一种系统级编程语言,由 Mozilla 开发,旨在提供安全性、并发性和性能。
Rust 标准库在 Windows 上使用 Command API 调用批处理文件(.bat/.cmd)时,未正确转义参数。该风险在2011年已经在微软文档中提及,但仍存在多个语言实现不当。
当应用中存在外部可控的批处理文件调用时,攻击者可通过控制传递给生成进程的参数实现命令注入,绕过转义从而执行任意系统命令。
其他平台或 Windows 上的其他用途都不受影响。
参考链接:https://www.oscs1024.com/hd/MPS-6mz0-wlgh

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
std (-∞, 1.77.2) 升级 将组件 std 升级至 1.77.2 及以上版本
rust (-∞, 1.77.2) 升级 将 rust 升级至 1.77.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-6mz0-wlgh

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-6mz0-wlgh

https://nvd.nist.gov/vuln/detail/CVE-2024-24576

https://www.rust-lang.org/policies/security

https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html

https://groups.google.com/g/rustlang-security-announcements/c/_MdkIbEZN44

(0)
上一篇 2024年4月9日 下午2:00
下一篇 2024年4月12日 下午12:00

相关推荐

  • XZ-Utils 5.6.0-5.6.1版本存在后门风险 (CVE-2024-3094)

    漏洞类型 隐藏功能 发现时间 2024-03-30 漏洞等级 严重 MPS编号 MPS-03mz-nh7f CVE编号 CVE-2024-3094 漏洞影响广度 小 漏洞危害 OSCS 描述 XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentO…

    2024年3月30日
    0
  • GitLab EE 安全扫描策略绕过导致远程代码执行 (CVE-2023-5009)

    漏洞类型 访问控制不当 发现时间 2023-09-20 漏洞等级 严重 MPS编号 MPS-zft4-sq8x CVE编号 CVE-2023-5009 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab EE 是 GitLab 的企业版本,用于管理软件开发项目、代码版本控制和协作等,Pipeline Jobs 指的是 CI/CD 中的任务。 由于对CV…

    2023年9月21日
    0
  • Apache OFBiz 任意文件读取和 SSRF 漏洞 (CVE-2023-50968)

    漏洞类型 SSRF 发现时间 2023-12-26 漏洞等级 中危 MPS编号 MPS-e3rj-bani CVE编号 CVE-2023-50968 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJS…

    2023年12月28日
    0
  • Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh)

    漏洞类型 反序列化 发现时间 2023-10-25 漏洞等级 严重 MPS编号 MPS-bd9c-7xsh CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 ActiveMQ默认…

    2023年10月26日
    0
  • MLflow<2.9.1 存在SSTI漏洞 (CVE-2023-6709)

    漏洞类型 模板注入 发现时间 2023-12-12 漏洞等级 严重 MPS编号 MPS-sv6t-fu0k CVE编号 CVE-2023-6709 漏洞影响广度 小 漏洞危害 OSCS 描述 MLflow 是用于管理机器学习生命周期的开源平台,recipes 是用于快速构建模型的框架。 MLflow 之前版本中由于直接使用 jinja2 模版引擎加载用户可控…

    2023年12月13日
    0