跳到内容
Tauri

Rust 安全公告 CVE-2024-24576

Rust 安全响应工作组宣布了 CVE-2024-24576,它影响 Windows 上的 Rust 标准库。

TL;DR: 将您的 Rust 版本升级到 1.77.2

一些 Tauri 组织仓库使用批处理文件(底层是 cmd.exe)进行开发环境工具,例如构建脚本。没有经过审查的仓库使用批处理文件作为运行时代码。

我们认为基于此 CVE,Tauri 项目没有额外的风险。

尽管如此,我们将更新我们的 CI 系统以使用最新的 Rust 版本。

通常,如果您满足以下所有条件,您的应用程序可能受到影响:

  • 您在 Windows 上发布您的应用程序
  • 您的项目启用了 Tauri v1 shell 功能,带有 "execute": true;或者 Tauri v2 shell-plugin,带有 allow-execute 权限
  • 您允许在 shell 功能的 scope 元素中传递参数
  • 您将不受信任的输入传递给 cmd.exe.bat/.cmd 文件,并且未正确验证范围 (🚩)

如果您的应用程序不满足其中任何一个条件,您很可能不受影响。

如果您在应用程序中实现自定义命令或逻辑,直接暴露带有运行时提供的参数的 Rust Command,您可能会受到影响。虽然这不是 Tauri 特有的,但这种模式可能会影响任何 Rust 项目。

请尽快将您的 Rust 版本升级到 1.77.2,并向您的用户分发更新。

本次调查和撰写是与我们的合作伙伴 CrabNebula ❤️ 合作完成的。


在此处阅读有关此安全公告的更多信息。这影响了许多编程语言,此特定 CVE 仅为 Rust 提交。


© 2025 Tauri 贡献者。CC-BY / MIT