一、 Rust 命令注入漏洞 ( CVE-2024-24576 )
2024 年 4 月 11 日,深 瞳 漏洞实验室监测到一则 Rust 组件存在命 令注入漏洞的信息,漏洞编号: CVE-2024-24576 ,漏洞威胁等级:严 重。
该漏洞是由于 Rust 转义 Windows 上批处理文件的参数时存在错 误,攻击者可利用该漏洞在未经授权的情况下,构造恶意数据执行命 令注入攻击,最终获取服务器最高权限。
1 、 目前受影响的 Rust 版本 :
Rust < 1.77.2
2 、 如何检测组件系统版本
在 Windows cmd 或 Powershell 中执行命令 :
rustc -- version
回显即为所安装的 rust 版本
3 、 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最 新版本。
链接如下: https://github.com/rust-lang/rust