关键漏洞信息 漏洞概述 漏洞类型: 参数注入漏洞 (Argument Injection vulnerability) 受影响包: @conventional-changelog/git-client 受影响版本: = 2.0.0 严重性: 中等 (5.3/10) 漏洞描述 在 包的 API 中存在参数注入漏洞。该API允许通过 命令传递额外参数,但未对用户输入进行适当的验证或限制,导致攻击者可以利用 命令行选项覆盖任意文件。 利用背景 受影响API: 问题原因: 未对用户输入进行验证或限制,未正确使用双破折号 ( ) 结束命令行选项。 影响范围: 可以覆盖磁盘上的任意文件,如 或 目录下的关键系统配置文件。 利用方法 1. 安装 或更早版本。 2. 准备一个Git目录作为源。 3. 创建以下脚本进行概念验证: 4. 观察磁盘上创建的新文件 。 影响 虽然漏洞仅限于根据 结果写入文件,但仍可指定和覆盖磁盘上的任意文件,包括敏感文件和关键系统配置文件。如果应用程序以特权用户(如root)运行,风险更大。 推荐措施 不要忽略此漏洞,建议修补不安全的设计缺口,并采用强化的安全编码实践。 在库文档中添加安全免责声明。