漏洞关键信息 受影响环境 项目: HummerRisk 仓库: https://github.com/HummerRisk/HummerRisk 受影响版本: <=1.5.0 执行摘要 HummerRisk 版本 <=1.5.0 在其云任务 功能中存在立即命令注入漏洞。有权限执行 Dry-Run 任务的攻击者可通过 参数注入任意操作系统命令,该参数直接用于命令构造而未经验证,随即执行。 漏洞详情 分类: 立即/一阶 OS 命令注入 CVE-78: 特殊元素不当中和 技术影响 立即远程代码执行: 即时的服务器以 Hummer-risk 用户侵入 权限提升: 如果 sudo 配置正确,可能获得根访问权限 数据窃取: 访问 Hummer-risk 用户可读的所有文件 数据破坏: 任意文件操作成为可能 持续性: 攻击者可立即部署后门、SSH 密钥或 cron 任务 侧向移动: 通过被攻破的主机访问内部网络 云凭据窃取: 访问存储的 AWS、Azure、GCP 凭据 CVSS v3.1 评分 基本分: 9.8 (CRITICAL) 向量字符串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 修复建议 1. 实施严格的输入验证 2. 使用安全的命令执行 API 3. 实施 白名单 4. 参数化命令构造 检测指导原则 妥协指标 - 请求中存在可疑的 值 - 可疑的 API 活动 参考 CWE 定义链接 OWASP 指南链接