CVE-2026-35363 CVSS 5.6 中危

CVE-2026-35363 uutils coreutils rm目录保护绕过漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35363

漏洞类型

路径验证绕过

CVSS评分

5.6 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

uutils coreutils

漏洞概述

uutils coreutils的rm工具存在安全漏洞，允许攻击者绕过保护当前目录的机制。虽然该工具正确拒绝删除 '.' 或 '..'，但无法识别带有尾部斜杠的等效路径（如 './'）。执行 'rm -rf ./' 会导致当前目录下的所有内容被静默递归删除，且该命令会报告具有误导性的“Invalid input”错误，掩盖数据丢失事实，导致用户错过数据恢复时机。

技术细节

该漏洞源于uutils coreutils中rm工具的路径验证逻辑实现不当。rm工具通常包含安全检查，以防止用户意外删除当前目录（'.'）或上级目录（'..'）。然而，受影响版本的检查机制仅基于简单的字符串匹配，未能对路径进行规范化处理或处理尾部斜杠。因此，当用户执行 'rm -rf ./' 时，程序判断 './' 不等于 '.'，从而绕过了安全防护。尽管 './' 在文件系统解析时等同于当前目录，但rm工具允许了该操作，导致递归删除当前目录下所有文件。此外，程序抛出的错误信息具有误导性，增加了数据恢复的难度。

攻击链分析

STEP 1

1. 环境准备

攻击者诱导用户在包含重要数据的目录下操作，或用户自身在目录中执行维护命令。

STEP 2

2. 执行恶意命令

执行带有尾部斜杠的删除命令，如 'rm -rf ./'。

STEP 3

3. 绕过安全检查

rm工具的验证逻辑未能识别 './' 为当前目录，允许删除操作继续。

STEP 4

4. 数据破坏

STEP 5

5. 误导掩盖

工具报告“Invalid input”错误，掩盖了实际发生的删除行为，阻止用户及时恢复。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-35363
# Demonstrates the bypass of current directory protection in uutils coreutils rm

# Setup a vulnerable environment
mkdir -p test_vuln/subdir
echo "Sensitive Data" > test_vuln/subdir/data.txt
cd test_vuln

# Normal protection (usually blocked)
# rm -rf .

# Exploitation: Using trailing slash to bypass check
# This command should bypass the safeguard and delete contents
rm -rf ./

# Check result
# If vulnerable, data.txt is gone and directory is empty
ls -R

影响范围

uutils coreutils (修复前版本)

防御指南

临时缓解措施

在未升级补丁前，用户应避免使用 'rm -rf ./' 或类似带有尾部斜杠的路径写法。建议在执行删除操作前，使用绝对路径或仔细检查相对路径的格式。同时，可以通过设置shell别名（如 alias rm='rm -i'）来强制交互式删除，防止误操作。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-35363
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-35363
3 Details https://www.cvedetails.com/cve/CVE-2026-35363/
4 VulDB https://vuldb.com/cve/CVE-2026-35363
5 Link https://github.com/uutils/coreutils/issues/9749

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表