Rust Blog
·
Cargo安全公告 (CVE-2026-5222)
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
Rust安全响应团队发现Cargo在使用稀疏索引协议时错误地规范化第三方注册表的URL,导致潜在的凭证泄露。该漏洞被标记为CVE-2026-5222,严重性较低。Rust 1.96版本将修复此问题,旧版本用户无可用补救措施。
🎯
关键要点
-
Rust安全响应团队发现Cargo在使用稀疏索引协议时错误地规范化第三方注册表的URL。
-
该漏洞被标记为CVE-2026-5222,严重性较低,因攻击需要极为特定的条件。
-
攻击者可以利用该漏洞获取同一注册表其他用户的凭证。
-
Rust 1.96版本将修复此问题,计划于2026年5月28日发布。
-
旧版本用户无可用补救措施,所有在Rust 1.68到1.96之间发布的Cargo版本均受到影响。
❓
延伸问答
CVE-2026-5222漏洞的主要问题是什么?
CVE-2026-5222漏洞主要是Cargo在使用稀疏索引协议时错误地规范化第三方注册表的URL,导致潜在的凭证泄露。
这个漏洞的严重性如何?
该漏洞的严重性较低,因为攻击需要极为特定的条件。
Rust 1.96版本将如何修复这个漏洞?
Rust 1.96版本将更新Cargo,仅在使用git协议时去除注册表URL中的.git后缀。
受影响的Cargo版本有哪些?
所有在Rust 1.68到1.96之间发布的Cargo版本均受到影响。
旧版本用户有什么补救措施?
旧版本用户无可用补救措施。
这个漏洞是如何被发现的?
Rust安全响应团队发现了Cargo的这个问题,并进行了报告。
➡️
