漏洞概述 PrusaSlicer 在版本 2.4 之前存在一个设计缺陷,导致其将 G-code 直接写入用户指定的目标介质(如 SD 卡),而非先写入系统临时目录。 影响范围 受影响版本:PrusaSlicer 2.4 之前的所有版本。 影响场景:当用户配置输出选项将 G-code 发送至本地硬盘驱动器、可移动媒体(如 SD 卡)或特定主机(如 PrusaLink, OctoPrint 等)时。 修复方案 版本 2.4 及以后:改为先将 G-code 写入系统驱动器上的临时文件夹,然后再执行后处理脚本,最后将结果发送到目标位置。 优势:避免直接写入易磨损的存储介质(如 SD 卡),并增强功能(如支持后处理脚本)。 注意:此更改可能破坏部分依赖旧行为(直接写入最终文件)的现有后处理脚本。 POC/利用代码 无直接可利用的漏洞代码,但涉及后处理脚本执行机制变更: > 注:上述代码为文档中提供的后处理脚本示例,非漏洞利用代码,仅用于说明新旧版本脚本执行环境的差异。