CVE-2026-30311Ridvay Code的命令自动批准模块存在严重的操作系统命令注入漏洞。该系统依赖脆弱的正则表达式进行命令过滤,未能正确处理标准的Shell命令替换语法(如`$(...)`和反引号),导致白名单安全机制完全失效。攻击者可利用此缺陷构造看似合法的Git命令,强制Shell优先执行注入的恶意代码。该漏洞无需用户交互即可被利用,导致远程代码执行,严重威胁系统的机密性、完整性和可用性。
该漏洞的核心原因在于Ridvay Code在处理命令自动批准时,仅使用正则表达式对命令字符串进行表面匹配,而未考虑Shell解析器的实际行为。系统试图通过白名单机制拦截危险操作,但其正则规则未能识别或转义Shell元字符。具体而言,攻击者可以利用Shell的命令替换特性(`$(command)` 或反引号)将恶意载荷嵌入到被视为安全的参数中。例如,攻击者提交 `git log --grep="$(reboot)"`。系统的正则引擎可能识别出 `git log` 为合法指令而放行,但在底层Shell执行时,会先解析 `$()` 内部的命令并执行其内容,随后再将结果作为参数传递给 git 命令。这种解析顺序的差异使得攻击者能够绕过白名单检查,直接在服务器端执行任意系统命令,获取服务器权限。