CVE-2026-35197 描述了 dye 库中的一个代码执行漏洞。该漏洞源于某些 dye 模板表达式的处理方式,可能导致攻击者执行任意代码。该漏洞影响 dye 的 0.0.0 到 1.1.1 版本之间的所有版本。幸运的是,该漏洞已由 dye 的作者发现并修复,目前未知的有实际利用。
攻击者可以利用此漏洞在运行受影响的 dye 脚本的环境中执行任意代码。这可能导致攻击者完全控制受影响的系统,窃取敏感数据,安装恶意软件,或进行其他恶意活动。由于 dye 经常在 shell 脚本中使用,因此该漏洞可能影响广泛的应用程序和系统。虽然目前未知的有实际利用,但由于其潜在的严重性,应尽快修复。
该漏洞已于 2026 年 4 月 6 日公开披露。目前,该漏洞未被列入 CISA KEV 目录,且 EPSS 评分尚未确定。虽然目前没有公开的 PoC,但由于其潜在的严重性,应密切关注该漏洞的利用情况。
Developers and system administrators using the dye color library in their shell scripts or applications are at risk. Specifically, those relying on older, unpatched versions (0.0.0–<1.1.1) are vulnerable. Automated build systems and CI/CD pipelines that incorporate dye should be updated to use the patched version.
disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的最佳方法是升级到 dye 的 1.1.1 版本或更高版本。如果无法立即升级,可以考虑使用 WAF 或代理来过滤包含恶意模板表达式的请求。此外,应审查所有使用 dye 的脚本,以确保它们不会以不安全的方式使用模板表达式。升级后,请验证新版本是否正确安装并修复了漏洞,可以通过运行一个包含模板表达式的脚本并确认没有代码执行行为来验证。
将 'dye' 库更新到 1.1.1 或更高版本以缓解模板表达式中的代码注入漏洞。此更新通过防止任意代码执行来修复此问题。请参阅 GitHub 仓库以获取更多详细信息和更新版本的下载。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-35197 是 dye 库中一个代码执行漏洞,影响 0.0.0 – < 1.1.1 版本。攻击者可以利用模板表达式执行任意代码。
如果您的系统正在使用 dye 的 0.0.0 到 1.1.1 版本,则可能受到此漏洞的影响。请立即升级到 1.1.1 或更高版本。
修复此漏洞的最佳方法是升级到 dye 的 1.1.1 版本或更高版本。
目前,CVE-2026-35197 未知的有实际利用,但由于其潜在的严重性,应密切关注。
请查阅 dye 的官方 GitHub 仓库或相关安全公告,以获取有关 CVE-2026-35197 的更多信息。