【CVSS评分10.0】Windows最新“BatBadBut”Rust 严重漏洞

近期，Rust 标准库中的一个严重漏洞可被利用来针对 Windows 系统并执行命令注入攻击。该漏洞是由 Flatt Security 的一位名为 RyotaK 的安全工程师发现的。他们将其命名为 BatBadBut，并于 2024 年 4 月 9 日发布了分析报告。同一天，GitHub 将其注册为CVE-2024-24576，严重性评分 (CVSS) 为 10.0。▌解码BatBadBut 漏洞BatBadBut 是一个漏洞，允许攻击者在满足特定条件时对间接依赖于“CreateProcess”函数的 Windows 应用程序执行命令注入。RyotaK 解释道：“CreateProcess() 在执行批处理文件（.bat、.cmd 等）时隐式生成 cmd.exe，即使应用程序未在命令行中指定它们。问题在于 cmd.exe 对命令参数的解析规则很复杂，并且编程语言运行时无法正确转义命令参数。”研究人员表示，正因为如此，如果有人可以控制批处理文件的命令参数部分，就可以注入命令。在4月9日发布的公告中，Rust 安 ………………………………