漏洞概述 漏洞名称: OS Command Injection in @pensar/apex (CVE-2026-36044) 漏洞ID: PENSAR-2026-001 CVE编号: CVE-2026-36044 严重程度: Critical 受影响包: @pensar/apex (Pensar Apex) ≤ 0.0.58 修复版本: None (vendor declined to patch) 发现者: Anmol Vats 披露日期: 2026-04-13 影响范围 受影响组件: - 文件: - 函数: (从第1735行开始) - 工具: - 参数: (array), (string) 漏洞代码: 攻击向量: 1. 直接工具调用: 任何调用 并带有攻击者控制的输入的操作或自动化管道都立即可利用。 2. 提示注入导致命令注入: 由于 @pensar/apex 是一个自主LLM代理,攻击者可以在HTTP响应中嵌入提示注入载荷。LLM读取响应,遵循注入的指令,并调用 并带有恶意选择的 或 值。 概念验证 (POC): - Linux/macOS: extensions injection (semicolon separator, /bin/sh) - Windows: url injection (ampersand separator, cmd.exe) 修复方案 1. 替换 为 : - 使用 并传递参数作为数组。 不会生成shell,因此参数中的元字符永远不会被解释。 2. 使用 Zod 验证 条目: 披露时间线 2026-02-17: 供应商 (Pensar AI) 通过电子邮件通知 2026-02-17: CTO Josh Kotrous 回应,称这是“预期功能”,拒绝修补 2026-04-13: 公开披露(无修复发布) 供应商回应 供应商称这是“预期功能”并拒绝修补。截至披露日期,没有发布任何修复。 参考 GitHub: pensar/apex npm: @pensar/apex CVE-78: OS Command Injection Node.js 文档 --- 发现者: Anmol Vats CVE-2026-36044 由 MITRE 分配