OS命令注入漏洞报告（子进程模块使用）

摘要

Bandit工具在curl.py文件中检测到subprocess模块的使用触发了B404:blacklist规则。该规则强调了在没有对输入进行适当清理的情况下使用subprocess模块可能带来的安全风险，这可能导致命令注入漏洞。

受影响代码

受影响的代码出现在curl.py文件中：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

import subprocess

# 使用subprocess执行系统命令的代码
p = subprocess.Popen(args, stderr=cerr, stdout=cout,
    cwd=self._run_dir, shell=False, env=self._run_env)
    
p = subprocess.run(args, stderr=cerr, stdout=cout,
    cwd=self._run_dir, shell=False,
    input=intext.encode() if intext else None,
    timeout=self._timeout,
    env=self._run_env)

文件位置：curl.py

漏洞解释

subprocess模块提供了生成新进程并与其交互的方法。虽然功能强大，但如果使用不当也会带来安全风险：

• 命令注入：如果传递给subprocess.Popen或subprocess.run的参数包含不受信任的用户输入，攻击者可能注入任意命令，导致在系统上执行恶意代码
• 不当输入处理：代码没有清理或验证传递给这些subprocess函数的输入。如果任何输入参数（args、intext等）可以被不受信任的来源操纵，这将使系统容易受到攻击

影响

• 命令注入：攻击者可以向args或intext变量注入任意系统命令。这些注入的命令将以运行Python代码的进程的权限执行
• 远程代码执行（RCE）：在最坏的情况下，如果应用程序以提升的权限运行（例如root或管理员），攻击者可以利用此漏洞在系统上执行任意命令，可能导致完整的远程代码执行
• 拒绝服务（DoS）：如果攻击者提供导致系统崩溃或挂起的命令，这可能导致拒绝服务，影响系统或应用程序的可用性

时间线

• 2024年12月17日 19:54 UTC：bulter向curl提交报告
• 2024年12月17日 20:14 UTC：dfandrich（curl员工）询问这是安全报告还是最佳实践建议
• 2024年12月17日 22:11 UTC：bagder（curl员工）确认这只是测试代码，不存在安全问题
• 2024年12月17日 22:12 UTC：报告状态改为"不适用"
• 2025年7月6日 21:17 UTC：请求公开此报告
• 2025年7月7日 10:17 UTC：报告被公开

报告详情

• 报告ID：#2904921
• 严重程度：低（0.1 ~ 3.9）
• 弱点类型：OS命令注入
• CVE ID：无
• 赏金：无

curl团队强调，所有Python代码仅用于测试目的，不用于生产环境，因此不会导致实际安全问题。