CVE-2024-24576 Windows 下多语言命令注入漏洞分析

 原文约21100字,阅读约需51分钟。发表于:

近期来自 Flatt Security Inc. 的 RyotaK 披露了 Windows 下多个编程语言的命令注入漏洞(漏洞被命名为 BatBadBut),其中 Rust 语言对应的漏洞编号为 CVE-2024-24576,因为 Rust 语言自带流量属性,国内安全/科技自媒体可能会使用一些怪异的标题来进行宣传。实际上,这个漏洞跟内存安全没有关系,是 Windows 下 cmd.exe 对命令行参数的特殊解析逻辑所导致的逻辑漏洞;此外,这个漏洞也不仅仅影响 Rust,像 PHP、Python 等语言均受影响。

Flatt Security Inc.的RyotaK披露了Windows下多个编程语言的命令注入漏洞,其中Rust语言的漏洞编号为CVE-2024-24576。漏洞是由于Windows下cmd.exe对命令行参数的特殊解析逻辑导致的。PHP、Python等语言也受到影响。文章还分析了漏洞的原因和补丁分析,并提到了Python版本的漏洞分析。

CVE-2024-24576 Flatt Security Inc. Rust语言 RyotaK cve windows 命令注入漏洞 多语言 漏洞
CVE-2024-24576 Windows 下多语言命令注入漏洞分析
相关推荐 去reddit讨论
分享给好友
小红花众创空间
APIGPT