CVE-2026-35348uutils coreutils中的sort工具存在安全漏洞,当使用--files0-from选项处理包含非UTF-8文件名的输入时,会发生进程崩溃。该实现强制执行UTF-8编码并使用expect(),导致遇到非UTF-8路径时立即崩溃。这与将文件名视为原始字节的GNU sort行为不一致。本地攻击者可利用此漏洞导致程序崩溃,破坏自动化流程。
该漏洞位于uutils coreutils项目的`sort`命令源代码中,具体涉及对`--files0-from`参数的处理逻辑。该参数允许用户从指定文件中读取以空字符分隔的文件名列表。在实现过程中,代码假设所有传入的文件名均符合UTF-8编码标准。当底层Rust代码读取输入流并将其转换为String类型时,使用了`expect()`方法处理转换结果。若输入中包含非UTF-8字节序列(例如某些特定语言环境下的合法文件名或恶意构造的字节序列),字符串转换失败,`expect()`会触发不可恢复的panic,导致进程立即终止。这与GNU coreutils的行为形成对比,后者将文件名视为原始字节流,不强制进行UTF-8校验。攻击者仅需具备本地低权限,即可通过构造特定的输入文件触发该panic,导致依赖该工具的系统任务中断。