关键信息 漏洞概述 CVE编号: CVE-2026-28207 / GHSA-9rff-x96h-76h2 类别: 命令注入 影响版本: v0.4.1 及更早 修复版本: v0.4.2 漏洞详情 CVSS评分: 6.6 (中等) CVSS V3基础度量: - 攻击向量: 本地 - 攻击复杂性: 低 - 权限要求: 无 - 用户交互: 需要 - 作用范围: 不变 - 机密性影响: 低 - 完整性影响: 高 - 可用性影响: 低 描述 通过在命令行参数中提供特殊构造的输出文件名,攻击者可以执行任意shell命令。问题存在于 中的 函数调用。 代码片段(受影响) 证明概念(PoC) 示例命令: 影响 本地命令执行: 允许攻击者以运行编译器的用户权限执行任意命令。 修复措施 1. 移除 调用,使用更安全的进程执行原语。 2. 实现 工具处理命令参数列表。 3. 内部参数处理: 使用参数数组而非单个字符串传递给系统API。 通知 用户应升级至Zen C v0.4.2或更高版本。