关键漏洞信息 漏洞类型 CWE: CWE-78 (OS Command Injection) CVE ID: ZDI-CAN-27913 漏洞描述 Vulnerability Description: 在 文件中的 函数通过使用 来启动系统浏览器进行 OAuth 身份验证。该函数编写了命令行直接插入模板字符串,没有进行适当的转译,导致命令注入漏洞。 攻击向量 控制 OAuth 回应的攻击者(通过中间人攻击、恶意重定向或错误配置的服务器端点)可以通过构造的 参数注入任意壳命令。 修复措施 Fix Implementation: 将 替换为 。 Changes in auth.js: - 行 10: 更改导入从 到 - 行 334-378: 重写 函数,使用 不调用 shell,平台特定命令的结构,并正确的生命周期管理。 安全性修复的属性 - 不使用 shell 调用 调用可执行文件。 - URL 作为单独参数传递,不拼接。 - 正确处理 macOS、Windows、Linux。 - 正确的进程管理。 测试和验证 对 和 文件中测试进行更新以使用 替代 。 更新所有核心 OAuth 和认证测试。 没有发现其他代码审计。 容器重建并成功测试。 使用线上 Evernote API 验证产品认证。