Rust < 1.77.2 Windows命令注入漏洞 (CVE-2024-24576)

漏洞类型 参数注入或修改 发现时间 2024-04-10 漏洞等级 严重
MPS编号 MPS-6mz0-wlgh CVE编号 CVE-2024-24576 漏洞影响广度 广

漏洞危害

OSCS 描述
Rust 是一种系统级编程语言,由 Mozilla 开发,旨在提供安全性、并发性和性能。
Rust 标准库在 Windows 上使用 Command API 调用批处理文件(.bat/.cmd)时,未正确转义参数。该风险在2011年已经在微软文档中提及,但仍存在多个语言实现不当。
当应用中存在外部可控的批处理文件调用时,攻击者可通过控制传递给生成进程的参数实现命令注入,绕过转义从而执行任意系统命令。
其他平台或 Windows 上的其他用途都不受影响。
参考链接:https://www.oscs1024.com/hd/MPS-6mz0-wlgh

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
std (-∞, 1.77.2) 升级 将组件 std 升级至 1.77.2 及以上版本
rust (-∞, 1.77.2) 升级 将 rust 升级至 1.77.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-6mz0-wlgh

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-6mz0-wlgh

https://nvd.nist.gov/vuln/detail/CVE-2024-24576

https://www.rust-lang.org/policies/security

https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html

https://groups.google.com/g/rustlang-security-announcements/c/_MdkIbEZN44

(0)
上一篇 2024年4月9日 下午2:00
下一篇 2024年4月12日 下午12:00

相关推荐

  • Apache ZooKeeper persistent watchers敏感信息泄露漏洞 (CVE-2024-23944)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-03-15 漏洞等级 严重 MPS编号 MPS-kfgl-etid CVE编号 CVE-2024-23944 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ZooKeeper是一个开源的分布式协调服务,persistent watchers 是对节点的监控机制。 受影响版本中,由于 addWat…

    2024年3月17日
    0
  • cacti <= 1.2.26 远程代码执行漏洞 (CVE-2024-25641)

    漏洞类型 代码注入 发现时间 2024-05-14 漏洞等级 严重 MPS编号 MPS-580w-3ubq CVE编号 CVE-2024-25641 漏洞影响广度 漏洞危害 OSCS 描述 Cacti 是一款基于 PHP 开发的网络流量监测图形分析工具。 在受影响的版本中,由于 /lib/import.php 文件中的 import_package 函数未对…

    漏洞 2024年5月16日
    0
  • Apache Airflow 存在Kubernetes配置文件泄露风险 (CVE-2023-51702)

    漏洞类型 日志敏感信息泄露 发现时间 2024-01-24 漏洞等级 中危 MPS编号 MPS-9l6b-gqsm CVE编号 CVE-2023-51702 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow 是一个开源的工作流自动化平台,Apache Airflow CNCF Kubernetes provider 是给 Airflo…

    2024年1月25日
    0
  • jeecg-boot/积木报表基于H2驱动的任意代码执行漏洞 [有POC]

    漏洞类型 代码注入 发现时间 2023/8/11 漏洞等级 高危 MPS编号 MPS-bjs4-n6dm CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 JeecgBoot 是一款开源的的低代码开发平台,积木报表是其中的低代码报表组件。JeecgBoot 受影响版本中,由于 jeecg-boot/jmreport/testConnec…

    2023年9月1日
    0
  • mysql2 readCodeFor 远程代码执行漏洞 (CVE-2024-21508)

    漏洞类型 代码注入 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-3gmx-vbwq CVE编号 CVE-2024-21508 漏洞影响广度 广 漏洞危害 OSCS 描述 mysql2 是一个 Node.js 中用于与 MySQL 数据库进行交互的软件包。 mysql2 软件包中存在远程代码执行漏洞。由于 readCodeFor 函数未…

    漏洞 2024年4月15日
    0