Dulwich CVE-2026-42563:merge driver 路徑命令注入,影響所有 0.24.0–1.2.4 版本
GitHub Advisory · 2026-05-28
Python git 函式庫 Dulwich 在 1.2.4 及以下版本(自 0.24.0 起)存在 OS 命令注入漏洞(CVE-2026-42563、GHSA-9277-mp7x-85jf),CVSS v4 評分 7.7(High)。修補版本為 1.2.5。
漏洞機制
問題位於 dulwich/merge_drivers.py 第 124–127 行。Dulwich 在執行合併時,會將 git tree 中的檔案路徑代入 merge driver 命令的 %P 佔位符,再以 subprocess.run(..., shell=True) 執行組合後的命令。
攻擊者控制惡意分支後,可在路徑名稱中嵌入 shell metacharacter(如 ;、$()),在合併操作時觸發任意命令執行。
受影響版本與修補
- 受影響:Dulwich 0.24.0 至 1.2.4(含)
- 修補版本:1.2.5(修補內容為在代入前對路徑進行 shell escaping)
- CWE:CWE-78(OS Command Injection)
CVSS v4 向量為 AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H:可透過網路利用,需使用者互動(拉取並合併惡意分支),高度影響機密性與完整性。建議立即升級至 1.2.5,無已知 workaround。
OpenBao CVE-2026-45808:跨命名空間 lease 撤銷繞過 ACL
GitHub Advisory · 2026-05-28
開源 secrets 管理系統 OpenBao(HashiCorp Vault 的社群 fork)在 2.5.3 及以下版本存在授權繞過漏洞(CVE-2026-45808、GHSA-v8v8-cm84-m686),CVSS v4 評分 7.1(High)。修補版本為 2.5.4。
漏洞機制
OpenBao 以 namespace 提供多租戶隔離。漏洞位於舊版、未公開文件的 API 端點 sys/revoke 與 sys/renew:這兩個端點對 ACL 的授權檢查不正確。
攻擊者若能取得 lease identifier(例如租戶 A 有意洩露其 lease ID),租戶 B 的使用者可透過上述端點對跨命名空間的 lease 進行撤銷或續約操作,繞過 ACL 策略的命名空間隔離。這可能導致另一租戶的認證憑證被強制撤銷(影響可用性)或被意外續約(影響存取控制)。
受影響版本與修補
- 受影響:
github.com/openbao/openbao≤ 2.5.3 - 修補版本:2.5.4(PR #3152,commit
c0495646) - 無 workaround:必須升級
compliance-trestle CVE-2026-46439:Jinja SSTI 導致 RCE,處理第三方 SSP 文件即觸發
GitHub Advisory · 2026-05-28
OSCAL(Open Security Controls Assessment Language)合規工具 compliance-trestle 存在高危 SSTI(Server-Side Template Injection)漏洞(CVE-2026-46439、GHSA-gg2g-p7xc-qqmm),CVSS v4 評分 7.8(High),可導致遠端程式碼執行。
漏洞機制
漏洞位於 trestle/core/commands/author/jinja.py 的 render_template 方法。問題在於使用了標準 Jinja2 Environment 而非 SandboxedEnvironment,且對已渲染的模板進行遞迴重新編譯。
特別危險之處:漏洞只需攻擊者控制輸入資料,無需控制模板本身。受信任的模板(如 Title: {{ ssp.metadata.title }})在渲染含有 Jinja 表達式的第三方 SSP 文件時,輸入資料中的 payload 會在二次渲染時被當作模板程式碼執行,實現任意命令執行。
受影響版本與修補
- 受影響:compliance-trestle ≤ 3.12.1,以及 4.0.0 至 4.0.2
- 修補版本:3.12.2 和 4.0.3
- 高風險場景:在 CI/CD pipeline 中自動處理第三方 SSP 文件的團隊應優先升級