Rust 安全公告 CVE-2024-24576
蒂尔曼·魏丁格
Tauri 安全
奇普·里德
Tauri 安全
Rust 安全响应工作组宣布了 CVE-2024-24576,它影响 Windows 上的 Rust 标准库。
TL;DR: 将您的 Rust 版本升级到
1.77.2。
一些 Tauri 组织仓库使用批处理文件(底层是 cmd.exe)进行开发环境工具,例如构建脚本。没有经过审查的仓库使用批处理文件作为运行时代码。
我们认为基于此 CVE,Tauri 项目没有额外的风险。
尽管如此,我们将更新我们的 CI 系统以使用最新的 Rust 版本。
通常,如果您满足以下所有条件,您的应用程序可能受到影响:
- 您在 Windows 上发布您的应用程序
- 您的项目启用了 Tauri v1
shell功能,带有"execute": true;或者 Tauri v2shell-plugin,带有allow-execute权限 - 您允许在
shell功能的scope元素中传递参数 - 您将不受信任的输入传递给
cmd.exe或.bat/.cmd文件,并且未正确验证范围 (🚩)
如果您的应用程序不满足其中任何一个条件,您很可能不受影响。
如果您在应用程序中实现自定义命令或逻辑,直接暴露带有运行时提供的参数的 Rust Command,您可能会受到影响。虽然这不是 Tauri 特有的,但这种模式可能会影响任何 Rust 项目。
请尽快将您的 Rust 版本升级到 1.77.2,并向您的用户分发更新。
本次调查和撰写是与我们的合作伙伴 CrabNebula ❤️ 合作完成的。
在此处阅读有关此安全公告的更多信息。这影响了许多编程语言,此特定 CVE 仅为 Rust 提交。
© 2025 Tauri 贡献者。CC-BY / MIT