CVE-2026-35255Oracle Cloud Native Environment命令行接口(CLI)v2.3.2版本存在安全漏洞。该漏洞源于产品对环境变量的处理不当,允许未经身份验证的攻击者利用恶意环境变量进行攻击。由于攻击复杂度低且易于利用,攻击者可诱导用户执行任意代码。成功利用此漏洞将导致Oracle Cloud Native Environment CLI允许用户执行非授权代码,严重威胁系统的机密性和完整性。
该漏洞基于CVSS 3.1标准,评分为6.6(中危)。攻击向量为本地(AV:L),需要低权限(PR:L)和用户交互(UI:R)。漏洞的核心原理在于Oracle OCNE CLI在启动或运行过程中,未对特定的环境变量进行严格的过滤或验证。攻击者可以构造包含恶意载荷的环境变量(如命令注入字符串或动态链接库劫持路径)。当本地用户在受污染的环境下执行CLI命令时,该变量被解析并传递给底层系统调用(如system()、exec()或库加载函数),从而导致任意代码执行。这种利用方式通常依赖于社会工程学诱导用户在特定目录下运行命令,或劫持父进程的环境变量。