CVE-2026-35380uutils coreutils项目中的cut工具存在严重的逻辑设计缺陷。该工具在解析参数时,错误地将由两个单引号组成的字面量字符串('')识别为空分隔符,并将其映射到NUL字符。这一错误同时影响了-d(分隔符)和--output-delimiter(输出分隔符)选项的处理逻辑。在依赖该工具进行数据处理的自动化脚本或数据管道中,此漏洞极难被察觉,可能导致静默的数据损坏或逻辑判断失误,进而对数据完整性造成严重影响。
该漏洞源于uutils coreutils对cut命令参数解析逻辑的实现缺陷。在标准实现中,分隔符通常被视为字面量字符。然而,uutils的cut工具在处理参数时,如果检测到两个连续的单引号(''),会错误地将其内部状态标记为空字符串,并进一步将其映射为NUL字符(\0)作为分隔符。攻击者可以利用这一特性,通过构造包含NUL字符的输入数据,诱导受害者的脚本使用-d "''"参数进行处理。由于脚本通常预期的是字面量匹配,这种不匹配会导致数据在NUL字节处被意外切割或合并。由于CVSS向量显示完整性影响为高,且不需要用户交互,这种静默的数据篡改可能会破坏关键业务数据的准确性,且难以追踪源头。