关键信息 漏洞描述 漏洞类型: CWE-94 代码注入 受影响函数: 问题: 该函数直接执行用户提供的字符串代码,使用 函数。由于 在定义的命名空间中运行代码,并且命名空间包含多个重要库(如 , , 等),攻击者可以利用这些库进行未经授权的操作,如读取敏感文件、修改系统配置或执行恶意网络操作。 利用方式 示例代码: 说明: 攻击者通过 库的 函数读取 文件,将其内容转换为制表符分隔的字符串并存储在 变量中。当 函数运行提供的代码时,攻击者可以通过 返回值获取 文件的内容,从而访问敏感系统信息。 影响范围 受影响版本: 所有自 起的代码版本,从 v0.1.0 到 v0.1.4。 最新主分支: 也存在此漏洞。 处理措施 当前状态: 不计划修复 临时解决方法: 已在 #502 中添加了一些变通方法,但不会进行全面修复,因为该仓库旨在在 Docker 环境中运行,这将显著降低潜在的安全风险。 文档更新: 在 README 中添加了 SECURITY 部分,以更清晰地向用户说明这一点。