CVE-2024-24576 Rust 命令注入漏洞【PoC已公布】

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay.com不想错过任何消息？设置星标↓ ↓ ↓背景介绍Rust 编程语言背后的项目声称，对特定 API 的任何调用都是安全的，即使输入的是不安全的内容，但研究人员找到了绕过保护的方法。一名漏洞研究人员发现，在 Windows 系统上用于执行批处理文件的一个特定函数可能会被利用注入漏洞，Rust 项目组随后发布了该标准库的更新。Rust 编程语言中包含的一组常用函数（称为标准库）除了其他众多功能外，还提供了通过命令 API 执行 Windows 批处理文件的功能。根据 4 月 9 日发布的 Rust 安全响应公告来看，该函数对 API 的输入处理不够严格，导致在执行过程中注 ………………………………