https://blog.qife122.com/tags/sftp%E6%BC%8F%E6%B4%9E/ Recent content in SFTP漏洞 on 办公AI智能小助手 Hugo zh-cn qife Sun, 26 Oct 2025 02:45:49 +0800 https://blog.qife122.com/p/sftp%E5%BC%95%E7%94%A8%E8%AF%AD%E6%B3%95%E9%AA%8C%E8%AF%81%E7%BC%BA%E5%A4%B1%E5%AF%BC%E8%87%B4%E6%93%8D%E4%BD%9C%E9%94%99%E8%AF%AF%E5%AF%B9%E8%B1%A1%E7%9A%84%E5%AE%89%E5%85%A8%E5%88%86%E6%9E%90/ Sun, 26 Oct 2025 02:45:49 +0800 https://blog.qife122.com/p/sftp%E5%BC%95%E7%94%A8%E8%AF%AD%E6%B3%95%E9%AA%8C%E8%AF%81%E7%BC%BA%E5%A4%B1%E5%AF%BC%E8%87%B4%E6%93%8D%E4%BD%9C%E9%94%99%E8%AF%AF%E5%AF%B9%E8%B1%A1%E7%9A%84%E5%AE%89%E5%85%A8%E5%88%86%E6%9E%90/ <h1 id="报告-3379102---sftp引用语法验证缺失可能导致操作错误对象">报告 #3379102 - SFTP引用语法验证缺失可能导致操作错误对象</h1> <h2 id="摘要">摘要</h2> <p>curl支持<code>-Q</code>或<code>--quote</code>（以及libcurl的<code>CURLOPT_QUOTE</code>）来为FTP和SFTP连接指定要执行的&quot;命令&quot;。SFTP支持对文件系统对象执行操作的命令。当对象路径包含文件名时，调用方应该引用参数（例如：<code>-Q 'chmod 777 &quot;/tmp/example file&quot;'</code>）。然而，由于libcurl引用命令解析器忽略额外参数，省略引号（或尝试使用shell引用）将让命令执行，并且操作将尝试作用于非预期对象。</p>