关键信息 漏洞描述 漏洞类型: CWE-94 代码注入 受影响函数: 问题: 该函数直接执行用户提供的字符串代码,使用 函数。由于 在定义的命名空间中运行代码,并且命名空间包含多个重要库(如 , , 等),攻击者可以利用这些库进行未经授权的操作,如读取敏感文件、修改系统配置或执行恶意网络操作。 利用方式 示例代码: 说明: 攻击者通过 库的 函数读取 文件。如果操作成功,文件内容将转换为制表符分隔的字符串并存储在 变量中。当 函数运行提供的代码时,攻击者可以通过 返回值获取 文件的内容,从而访问敏感系统信息。 影响范围 受影响版本: 所有自 起的代码版本,从 v0.1.0 到 v0.1.4。 最新主分支: 也存在此漏洞。 处理措施 当前状态: 已关闭,标记为“未按计划实施”。 缓解措施: 添加了一些变通方法来解决此问题(#502),但不会进行全面修复。建议在 Docker 环境中运行此仓库以减轻潜在的安全风险。已在 README 中添加了 SECURITY 部分以向用户澄清这一点。