漏洞总结 漏洞概述 该页面展示了一个针对 命令注入 (Command Injection) 漏洞的修复提交。原代码在使用 执行系统命令(如 , , )时,直接拼接了用户输入的参数(如 , )。攻击者可以通过构造包含特殊字符(如 , , )的输入,在服务器端执行任意系统命令。 影响范围 文件: 功能: 函数,涉及以下工具的执行逻辑: (Kubernetes 包管理器) (Rust 构建工具) (.NET 构建工具) 修复方案 1. 替换执行方法: 将 替换为更安全的 。 2. 参数数组化: 将命令参数从字符串拼接改为数组(Array)形式传递。 会将参数作为独立的字符串处理,不会经过 shell 解析,从而阻断注入。 3. Promise 封装: 使用 将 封装为 Promise,以便在 中使用。 修复代码 (src/tools.ts)**