平台
nodejs
组件
@google/clasp
修复版本
3.2.1
3.2.0
CVE-2026-4092 是 @google/clasp 库中的路径遍历漏洞。该漏洞允许攻击者修改项目目录之外的文件,从而可能在开发者的机器上执行恶意代码。受影响的版本低于 3.2.0。已在 3.2.0 版本中修复,建议尽快升级。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞修改项目目录之外的任意文件,这可能导致他们执行任意代码。例如,攻击者可以修改开发者的配置文件,从而窃取敏感信息或破坏系统。更严重的情况是,攻击者可能能够利用此漏洞在开发者的机器上安装恶意软件,从而完全控制该机器。由于 @google/clasp 通常用于与 Google Apps Script 集成,因此此漏洞可能影响使用该库的应用程序的安全性。
目前没有公开的利用程序 (PoC),但该漏洞的潜在影响使其成为一个值得关注的问题。该漏洞已添加到 NVD 数据库中,CISA 尚未将其添加到 KEV 目录中。由于该漏洞允许攻击者在开发者机器上执行代码,因此其风险等级被认为是中等偏高的。建议密切关注该漏洞的动态,并及时采取缓解措施。
Developers using @google/clasp to develop Google Apps Script projects are at risk, particularly those who frequently clone or pull scripts from external sources or use older, unpatched versions of the library. Shared hosting environments where multiple developers use the same @google/clasp installation are also at increased risk.
• nodejs / clasp:
find / -name clasp.cmd -o -name clasp.sh -print0 | xargs -0 grep -i 'pull|clone' • nodejs / clasp: Check for unusual files or modifications within the Google Apps Script project directories after a pull or clone operation.
• nodejs / clasp: Review the output of npm audit for vulnerabilities in dependencies used by the project.
disclosure
漏洞利用状态
EPSS
1.03% (77% 百分位)
CISA SSVC
除了升级到 3.2.0 版本外,还可以采取一些临时缓解措施。首先,仅从可信来源克隆或拉取脚本,以避免引入恶意代码。其次,仔细检查 pull 和 clone 命令的输出,以确保只修改了预期的项目文件。如果无法立即升级,请考虑限制 @google/clasp 库的访问权限,并定期扫描系统是否存在可疑文件或进程。虽然没有特定的检测签名,但监控文件系统修改活动可以帮助识别潜在的攻击。
将 Clasp 更新到 3.2.0 或更高版本。此版本修复了允许远程代码执行的路径遍历漏洞。您可以使用 npm 包管理器通过命令 `npm install -g @google/clasp` 来更新 Clasp。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4092 是 @google/clasp 库中的一个安全漏洞,允许攻击者修改项目目录之外的文件,可能导致在开发者机器上执行恶意代码。
如果您正在使用 @google/clasp 的版本低于 3.2.0,则您可能会受到影响。请尽快升级到最新版本。
升级到 @google/clasp 3.2.0 或更高版本。同时,仅从可信来源克隆或拉取脚本,并仔细检查 pull 和 clone 命令的输出。
目前没有公开的利用程序,但由于其潜在影响,建议密切关注该漏洞的动态。
请查阅 @google/clasp 的官方 GitHub 仓库或相关安全公告,以获取有关 CVE-2026-4092 的更多信息。