1.漏洞概述

2024 年 4 月 12 日，安全运营中心监测到 Rust < 1.77.2 Windows 命令注入漏洞，漏洞编号：CVE-2024-24576，漏洞威胁等级：高危。

2.漏洞详情

Rust 是一种系统级编程语言，由 Mozilla 开发，旨在提供安全性、并发性和性能。

Rust 标准库在 Windows 上使用 Command API 调用批处理文件（.bat/.cmd）时，未正确转义参数。该风险在 2011 年已经在微软文档中提及，但仍存在多个语言实现不当。

当应用中存在外部可控的批处理文件调用时，攻击者可通过控制传递给生成进程的参数实现命令注入，绕过转义从而执行任意系统命令。

其他平台或 Windows 上的其他用途都不受影响。

3.影响版本

std<1.77.2

rust<1.77.2

4.处置建议

1. 官方已修复该漏洞，建议用户更新到安全版本。

安全版本:

将组件 std 升级至 1.77.2 及以上版本。

将 ust 升级至 1.77.2 及以上版本。

https://www.rust-lang.org/policies/security

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651