漏洞总结 漏洞概述 这是一个命令注入(Command Injection)漏洞。在 工具集中,由于不安全地使用了 Node.js 的 方法,导致攻击者可以通过构造恶意输入来执行任意系统命令。 影响范围 受影响的工具使用了用户控制的参数来构建 shell 命令字符串。具体涉及的用户控制参数包括: 修复方案 该 Pull Request 通过以下方式修复了漏洞: 1. 将不安全的 替换为更安全的 。 2. 将命令参数作为数组(arrays)传递,而不是拼接成 shell 命令字符串(interpolated shell command strings)。 3. 保留了原有的 CLI 行为和可选参数处理逻辑。 相关代码/描述片段**