CVE-2026-35377 CVSS 3.3 低危

CVE-2026-35377 uutils coreutils env工具本地拒绝服务漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35377

漏洞类型

拒绝服务

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

uutils coreutils

漏洞概述

uutils coreutils中的env工具由于逻辑错误，在使用-S选项处理命令行参数时，对单引号内的反斜杠处理不当。当遇到如\a或\x等序列时，程序会错误地判定为无效序列并直接退出，返回状态码125。这与GNU env的标准行为不一致，导致依赖该行为的自动化脚本和工作流程中断，造成本地拒绝服务攻击风险。

技术细节

该漏洞位于uutils coreutils包的env实用程序中，具体影响其解析命令行参数的逻辑。根据GNU env的标准规范，当使用-S（split-string）选项时，单引号内的反斜杠字符应被视为字面量，仅有两个例外：反斜杠本身和单引号。然而，uutils的实现引入了额外的验证步骤，试图识别转义序列。当解析器遇到单引号内包含的、在GNU规范中视为字面量但在uutils逻辑中未定义的序列（例如\a表示响铃或\x表示十六进制）时，会触发“invalid sequence”错误。这导致程序立即终止并返回错误代码125。由于这种兼容性缺失，任何依赖GNU env标准行为的自动化脚本、系统管理工具或CI/CD流水线在处理特定输入时都会意外崩溃，攻击者可利用此点造成本地服务的可用性受损。

攻击链分析

STEP 1

发现

攻击者确认目标系统安装了存在漏洞的uutils coreutils版本。

STEP 2

构造载荷

攻击者构造包含-S选项以及单引号包裹的特定反斜杠序列（如\a或\x）的命令参数。

STEP 3

执行攻击

诱导系统管理员或自动化脚本执行包含该参数的env命令。

STEP 4

达成效果

uutils env解析参数失败，抛出错误并退出，导致脚本中断或服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-35377
# The uutils env will exit with code 125 due to invalid sequence error
# while GNU env treats it literally.

env -S 'echo \a'
# Expected output in vulnerable uutils: error: invalid sequence
# Exit status: 125

影响范围

uutils coreutils (CVE-2026-35377 修复前版本)

防御指南

临时缓解措施

建议在官方修复发布前，避免在脚本中使用-S选项处理包含反斜杠的单引号字符串，或回退使用GNU env工具以确保与标准行为兼容。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-35377
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-35377
3 Details https://www.cvedetails.com/cve/CVE-2026-35377/
4 VulDB https://vuldb.com/cve/CVE-2026-35377
5 Link https://github.com/uutils/coreutils/pull/11512

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表