CVE-2026-30302 CVSS 10.0 严重

CVE-2026-30302 CodeRider-Kilo远程代码执行漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30302

漏洞类型

操作系统命令注入

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

CodeRider-Kilo

漏洞概述

CodeRider-Kilo的命令自动批准模块中存在严重的操作系统命令注入漏洞。由于产品在Windows平台上错误地使用了不兼容的Unix命令解析库，导致其白名单安全机制失效。攻击者可以利用Windows CMD特定的转义序列构造恶意Payload，欺骗解析器通过检查，但在实际执行时触发任意命令，从而实现远程代码执行。

技术细节

漏洞的核心成因是解析逻辑与执行环境的不匹配。CodeRider-Kilo使用了基于Unix的shell-quote库来分析命令，该库无法正确处理Windows CMD中的转义字符（^）。攻击者发送如 `git log ^" & malicious_command ^"` 的载荷时，解析器被转义字符欺骗，将恶意连接符（&）误判为受保护字符串的一部分，从而自动批准了该命令。然而，底层的Windows CMD解释器在执行时会忽略转义的引号，正确解析连接符并执行后续的恶意命令。这种差异允许攻击者在绕过看似合法的Git白名单检查后，获得服务器的任意代码执行权限。

攻击链分析

STEP 1

1. 侦察与准备

确认目标运行CodeRider-Kilo且开启了命令自动批准功能。

STEP 2

2. 载荷构造

攻击者构造包含Windows CMD转义符（^）和命令连接符（&）的恶意Git命令，如 `git log ^" & malicious_cmd ^"`。

STEP 3

3. 解析器欺骗

CodeRider-Kilo使用错误的Unix解析器处理载荷，误认为连接符在引号内，通过白名单检查。

STEP 4

4. 恶意命令执行

命令传递至Windows CMD执行，CMD忽略转义引号，解析`&`并执行后续的恶意代码。

STEP 5

5. 获得控制权

攻击者成功实现远程代码执行（RCE），控制目标服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Payload construction exploiting the parser discrepancy
# The parser sees the & inside a string, but Windows CMD executes it.

payload = 'git log ^" & whoami ^"'

# In a real attack scenario:
# payload = 'git log ^" & calc.exe ^"'

影响范围

CodeRider-Kilo (所有受影响版本)

防御指南

临时缓解措施

建议立即禁用命令自动批准模块作为临时缓解措施。同时，在输入处理层增加对Windows CMD元字符（如&, |, >, <, ^）的严格过滤和转义验证，防止命令注入攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表