PrusaSlicer 2.6.1 任意代码执行漏洞 漏洞概述 PrusaSlicer 3mf 项目(zip)归档文件包含一个名为 的文件,用于描述各种项目设置。该文件是常规 3mf 文件的扩展,PrusaSlicer 会解析此文件以读取各种项目设置。其中一个设置(post_process)是后处理脚本,允许恶意用户在项目中创建恶意的 3mf 文件,当目标用户从恶意项目中导出 g-code 时,将执行任意代码。 影响范围 受影响版本:PrusaSlicer 2.6.1 及更早版本 测试平台:Windows 和 Linux 修复方案 CVE 编号:CVE-2023-47868 修复建议:更新 PrusaSlicer 至最新版本,避免使用来自不可信来源的 3mf 文件。 POC 代码 Linux POC 在切片后,将创建一个新文件 。该 PoC 包含以下 条目: Windows POC