报告 #2904921 - OS命令注入（子进程模块使用）

时间线

bulter 向 curl 提交报告
2024年12月17日 19:54 UTC

摘要

Bandit工具根据B404:黑名单规则标记了curl.py文件中subprocess模块的使用。该规则强调在未对输入进行适当清理的情况下使用subprocess模块可能带来的安全风险，这可能导致命令注入漏洞。

具体问题出现在使用subprocess.Popen和subprocess.run执行系统级命令的代码中。如果用户输入或其他不可信数据未经验证直接传递到这些子进程调用中，可能允许恶意攻击者注入任意命令，从而危及系统安全。

受影响代码

标记的代码出现在curl.py文件中：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

import subprocess

# 使用subprocess执行系统命令的代码
p = subprocess.Popen(args, stderr=cerr, stdout=cout,
    cwd=self._run_dir, shell=False, env=self._run_env)
    
p = subprocess.run(args, stderr=cerr, stdout=cout,
    cwd=self._run_dir, shell=False,
    input=intext.encode() if intext else None,
    timeout=self._timeout,
    env=self._run_env)

文件位置：curl.py

漏洞说明

subprocess模块提供了生成新进程并与之交互的方法。虽然功能强大，但如果使用不当也会带来安全风险：

• 命令注入：如果传递给subprocess.Popen或subprocess.run的参数包含不可信的用户输入，攻击者可能注入任意命令，导致在系统上执行恶意代码
• 不当输入处理：代码没有清理或验证传递给这些子进程函数的输入。如果任何输入参数（args、intext等）可以被不可信源操纵，这将使系统容易受到攻击

在受影响代码中，args和intext直接传递到子进程调用中。如果这些输入来自用户输入、环境变量或未经验证的外部源，攻击者可以构造恶意输入，由子进程执行，导致潜在的安全漏洞。

影响

• 命令注入：攻击者可以向args或intext变量注入任意系统命令。这些注入的命令将以运行Python代码的进程权限执行
• 远程代码执行（RCE）：在最坏情况下，如果应用程序以提升的权限运行（如root或管理员），攻击者可以利用此漏洞在系统上执行任意命令，可能导致完整的远程代码执行
• 拒绝服务（DoS）：如果攻击者提供导致系统崩溃或挂起的命令，可能导致拒绝服务，影响系统或应用程序的可用性

讨论记录

dfandrich (curl staff) 评论 - 2024年12月17日 20:14 UTC
“这是安全报告还是最佳实践提示？报告中七次使用’如果’一词进行条件限定。您是否意识到curl中存在实际的安全问题？请注意，curl中的所有Python代码都只是测试代码，不用于生产环境。”

bagder (curl staff) 评论 - 2024年12月17日 22:11 UTC
“正如@dfandrich所说，这似乎没有识别出真正的问题，即使有，这也只是测试代码，不会在生产中使用，因此如果导致问题会非常奇怪。这不是安全问题。”

bagder 将报告状态更改为"不适用"并关闭报告 - 2024年12月17日 22:12 UTC

bulter 回复 - 2024年12月17日 22:12 UTC
“感谢反馈。我想澄清的是，识别出的问题不仅仅是’最佳实践’提示，而是真实的安全漏洞。以不安全的方式使用subprocess模块，特别是与不可信输入（如用户提供的数据或外部源）一起使用，会使系统面临命令注入、远程代码执行（RCE）和拒绝服务（DoS）等严重风险。虽然curl.py中的代码用于测试目的’如您所说’，但这并不能否定如果应用于生产环境或类似情况，subprocess的这种使用模式可能被利用的事实。因此，在将输入传递给子进程调用之前验证和清理输入至关重要。”

bagder 最终回复 - 2024年12月17日 22:17 UTC
“裁决保持不变。这只是运行curl测试的代码。”

报告元数据

• 报告时间：2024年12月17日 19:54 UTC
• 报告人：bulter
• 报告对象：curl
• 报告ID：#2904921
• 严重程度：低（0.1 ~ 3.9）
• 披露时间：2025年7月7日 10:17 UTC
• 弱点类型：OS命令注入
• CVE ID：无
• 赏金：无