一、Rust 命令注入漏洞（CVE-2024-24576）

2024 年 4 月 11 日，深瞳漏洞实验室监测到一则 Rust 组件存在命令注入漏洞的信息，漏洞编号：CVE-2024-24576，漏洞威胁等级：严重。

该漏洞是由于Rust 转义Windows上批处理文件的参数时存在错误，攻击者可利用该漏洞在未经授权的情况下，构造恶意数据执行命令注入攻击，最终获取服务器最高权限。

1、目前受影响的 Rust 版本：

Rust < 1.77.2

2、如何检测组件系统版本

在 Windows cmd 或 Powershell 中执行命令：

rustc --version

回显即为所安装的 rust 版本

3、官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

链接如下：https://github.com/rust-lang/rust

二、Palo Alto Networks PAN-OS 命令注入漏洞（CVE-2024-3400）

2024 年 4 月 15 日，深瞳漏洞实验室监测到一则 Pan-OS 组件存在命令注入漏洞的信息，漏洞编号：CVE-2024-3400，漏洞威胁等级：严重。

该漏洞是由于 Pan-OS 的 GlobalProtect 功能对用户输入过滤不严导致，攻击者可利用该漏洞在未授权的情况下，构造恶意数据造成远程命令执行，最终获取服务器最高权限。

1、目前受影响的 Pan-OS 版本：

11.1 ≤ Pan-OS < 11.1.2-h3

11.0 ≤ Pan-OS < 11.0.4-h1

10.2 ≤ Pan-OS < 10.2.9-h1

2、官方修复建议

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。

链接如下：

https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184