CVE-2026-31226TinyZero项目在commit 6652a63c版本之前的HDFS文件操作工具中存在严重的命令注入漏洞。由于_copy()函数直接使用f-strings将用户输入拼接进os.system()执行,且未做过滤,攻击者可通过Hydra配置框架传入恶意路径参数,从而注入任意操作系统命令。这可能导致在运行TinyZero进程的用户权限下执行任意代码,完全控制受影响系统。
该漏洞源于TinyZero项目中HDFS文件操作工具的不安全编码实践。具体来说,漏洞触发点位于`_copy()`函数。该函数负责处理文件复制逻辑,但在构建shell命令时,使用了Python的f-strings格式化方式,直接将用户通过Hydra配置框架提供的文件路径参数(user-controlled input)拼接进命令字符串中,随后通过`os.system()`直接执行。由于代码层面未对用户输入进行任何形式的清洗、验证或Shell转义,攻击者可以构造包含Shell元字符(如`;`、`&`、`|`、`$()`等)的恶意路径字符串。当该路径被传递给`os.system()`时,操作系统Shell会将其解释为命令分隔符或子命令,从而在后台执行攻击者指定的任意系统命令。由于无需用户交互且无需认证,攻击者可远程利用此漏洞以TinyZero进程的运行权限获得服务器控制权。