據報道，盡管Rust以其安全性著稱，然而，近期安全研究人員已揭露一名為CVE-2024-24576的漏洞。該漏洞源自Rust標準庫中的一個安全缺失，給Windows系統(tǒng)帶來了命令注入風險。

此漏洞源于操作系統(tǒng)命令及參數(shù)注入缺陷，攻擊者能非法執(zhí)行可能有害的指令。CVSS評分達10/10，意味著無須認證即可借助該漏洞發(fā)起低難度遠端攻擊。

Rust安全響應小組隨即發(fā)布安全通告指出，Windows環(huán)境下，當運行bat或cmd后綴的批次文件時，Rust標準庫未能準確轉義參數(shù)，從而讓攻擊者得以竊取并操控傳遞至生成程序的參數(shù)，進而繞過轉義執(zhí)行任意shell命令。鑒于所使用的不受信參數(shù)以及Windows環(huán)境，此漏洞被視為極度危險。

據悉，Rust團隊當日已發(fā)布1.77.2版本標準庫安全補丁，解決了Windows系統(tǒng)中的漏洞問題，同時聲明其他平臺及應用無受影響。