漏洞概述 漏洞名称: Command Injection via code search tool arguments CVE ID: CVE-2026-48703 CVSS v3 base metrics: 7.8 / 10 攻击向量: Local 攻击复杂度: Low 特权要求: None 用户交互: Required 范围: Unchanged 机密性: High 完整性: High 可用性: High 影响范围 受影响版本: Warp >=v0.2025.04.09.08.11 stable_00 修复版本: Warp v0.2026.05.06.15.42 stable_01 修复方案 补丁: 补丁对完整的搜索参数、路径和 glob 模式进行引用,作为 shell 数据在构建生成的命令字符串之前,包括 PowerShell 特定的处理。 变通方法: 更新到修补后的 Warp 版本。更智能的模型通常更能抵抗这种类型的攻击。 参考 GHSA: GHSA-878-7jwh-m8hm CVE: CVE-2026-48703 修复提交: 834f483e0c7d6753d2aaa8495d2d718709640 修补发布: v0.2026.05.06.15.42 stable_01 报告者 @s-zaizen @chb41 @adrgs @berkpolaCE 其他信息 发布日期: 2026年4月9日 修复日期: 2026年5月6日 代码块 无 POC 代码或利用代码。