Saku0512/CVE-2026-48732-poc

# CVE-2026-48732: Warp Remote SSH cwd 命令注入 PoC ## 漏洞描述 本仓库包含 **CVE-2026-48732** 的概念验证（PoC），这是 **Warp** 旧版 SSH 后台命令处理中一个严重等级较高的 OS Command Injection 漏洞。 受影响的 Warp 版本在构建辅助命令时，会使用由 SSH 会话报告的远程工作目录（`cwd`）。由于该路径中嵌入的单引号未被转义，攻击者控制的远程主机、仓库或目录名称就可以冲破被引号包裹的 `cd` 参数，并追加能够在远程主机上以受害者已认证 SSH 账户身份执行的 shell 语法。 **发现者：saku0512** ([GitHub](https://github.com/Saku0512)) ## 免责声明 本项目仅供教育和符合道德规范的安全测试目的使用。 作者对因使用此工具而导致的任何滥用、损害或非法活动不承担责任。未经授权访问计算机系统是违法行为。使用本软件即表示您同意仅在获得明确授权进行安全测试的环境中使用它。 ## 漏洞详情 - **CVE ID**: CVE-2026-48732 - **GHSA ID**: GHSA-qqpc-wvvw-4269 - **类型**: OS Command Injection (CWE-78) - **影响**: 在已连接的 SSH 主机上执行远程命令 - **CVSS**: 8.8 高危 (`CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H`) - **受影响版本**: - Warp `>= v0.2023.03.21.08.02.stable_00` - **已修复版本**: - `v0.2026.05.06.15.42.stable_01` 及以上版本 ## 根本原因 存在漏洞的旧版 SSH 后台命令路径将远程工作目录包裹在单引号中，但没有对内部嵌入的单引号字符进行转义： ``` command_str.push_str(&format!("cd '{current_directory_path}' && ")); ``` 如果 `current_directory_path` 包含如下值： ``` /tmp/warp-cve-2026-48732'; touch /tmp/warp_cve_2026_48732_confirmed; echo ' ``` 生成的 shell 命令将变为： ``` cd '/tmp/warp-cve-2026-48732'; touch /tmp/warp_cve_2026_48732_confirmed; echo '' && pwd ``` 被注入的 `touch` 命令会被 shell 解析为一个独立的命令。 该补丁在将路径放入单引号包裹的 shell 上下文之前，对嵌入的单引号进行了转义。 ## 概念验证（使用方法） ### 1. 环境设置 确保您已安装 Python 3。此 PoC 会在本地模拟存在漏洞的命令构建过程，不会实际连接到 Warp 或 SSH。 ``` python3 --version ``` ### 2. 执行漏洞模拟 运行提供的脚本： ``` python3 poc.py ``` 预期输出将包含生成的漏洞命令以及显示标记文件已创建的成功信息： ``` [!] SUCCESS: /tmp/warp_cve_2026_48732_confirmed was created. ``` ### 3. 验证 通过检查标记文件来验证命令是否已成功执行： ``` ls -l /tmp/warp_cve_2026_48732_confirmed ``` 如果文件存在，则证明在本地模拟中发生了命令注入行为。 验证完毕后，请清理标记文件： ``` rm -f /tmp/warp_cve_2026_48732_confirmed ``` ### 4. 已修复行为模拟 运行修复后的命令构建器： ``` python3 poc.py --mode fixed ``` 修复后的模拟会对嵌入的单引号进行转义，因此不应创建标记文件。 ## 修复方案 立即将 Warp 更新至已修复的版本。 该修复方案在构建旧版 SSH 辅助命令之前，对远程路径中嵌入的单引号进行了转义，从而防止攻击者控制的路径文本冲破被引号包裹的 shell 参数。 ## 参考 - [GHSA-qqpc-wvvw-4269](https://github.com/warpdotdev/warp/security/advisories/GHSA-qqpc-wvvw-4269) - [CVE-2026-48732](https://www.cve.org/CVERecord?id=CVE-2026-48732) - [Warp 修复提交 88c344e2de662a935f0ef0896458494ef2413add](https://github.com/warpdotdev/warp/commit/88c344e2de662a935f0ef0896458494ef2413add)

标签：PoC, SSH, Warp, 命令注入, 安全, 暴力破解, 超时处理, 逆向工具