CVE-2026-33414Podman是一款管理OCI容器的工具,其4.8.0至5.8.1版本的HyperV后端存在命令注入漏洞。由于VM镜像路径在插入PowerShell双引号字符串时未经过清理,导致允许`$()`子表达式注入。攻击者可通过构造特殊的机器名称或镜像目录,以Podman进程权限(通常是SYSTEM)在Windows上执行任意PowerShell命令。该问题已在5.8.2版本中修复。
该漏洞的根源在于Podman的HyperV后端代码在构建PowerShell命令时,直接将用户可控的虚拟机镜像路径拼接到双引号字符串中,未进行任何安全转义。在PowerShell语法中,双引号字符串内的`$()`子表达式会在命令执行前被优先解析和计算。攻击者只需控制镜像路径(例如通过指定特殊的机器名称或镜像目录),并在其中注入形如`$(malicious_command)`的Payload,即可触发漏洞。当Podman进程尝试操作该虚拟机时,它会调用PowerShell执行相关脚本,此时解析器会先执行Payload中的恶意命令。由于Podman在Windows上通常作为服务运行并拥有SYSTEM权限,这直接导致了本地权限提升(LPE)。攻击者可借此执行任意系统级操作,如安装后门、创建管理员账户等。该漏洞仅存在于Windows平台的HyperV后端,Linux版本不受影响。修复的核心在于对传入路径进行参数化处理或严格转义。