近日，发现 Rust 组件存在命令注入漏洞的信息以及 Pan-OS 组件存在命令注入漏洞的信息。

（一）漏洞描述：

Rust 命令注入漏洞（CVE-2024-24576）是由于Rust 转义Windows上批处理文件的参数时存在错误，攻击者可利用该漏洞在未经授权的情况下，构造恶意数据执行命令注入攻击，最终获取服务器最高权限。

Palo Alto Networks PAN-OS 命令注入漏洞（CVE-2024-3400）是由于 Pan-OS 的 GlobalProtect 功能对用户输入过滤不严导致，攻击者可利用该漏洞在未授权的情况下，构造恶意数据造成远程命令执行，最终获取服务器最高权限。

（二）漏洞具体信息及影响范围如下：

目前受影响的 Rust 版本：

Rust < 1.77.2

目前受影响的 Pan-OS 版本：

11.1 ≤ Pan-OS < 11.1.2-h3

11.0 ≤ Pan-OS < 11.0.4-h1

10.2 ≤ Pan-OS < 10.2.9-h1

（三）安全防范建议：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

链接如下：https://github.com/rust-lang/rust

链接如下：https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184

请各单位及时排查本单位系统是否存在相关漏洞并尽快修复。若有疑问请联系网信办。

网络安全与信息化办公室

2024年4月23日