CVE-2026-36044 in apex信息

摘要

由 VulDB • 2026-05-27

@pensar/apex <= 0.0.58 存在 OS 命令注入漏洞，该漏洞可通过 smart_enumerate 工具利用。src/core/agent/tools.ts 中的 createSmartEnumerateTool() 函数通过将 extensions 数组和 url 参数中未经验证的值拼接成字符串，并将其传递给 Node.js 的 child_process.exec() 来构造 shell 命令。由于 exec() 会启动 shell，这些值中的 shell 元字符会被宿主 shell 解释，从而导致以运行进程的权限执行任意 OS 命令。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

MITRE

预定

2026-04-06

披露

2026-05-27

管理

已接受

条目

VDB-366176

CPE

准备好

CWE

CWE-78 (已确认)

CVSS

8.8 (CNA)

EPSS

0.00074

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-36044
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-36044
CVE Details	https://www.cvedetails.com/cve/CVE-2026-36044/

◂ 上一步一览下一步 ▸

Do you know our Splunk app?

Download it now for free!