## Node.js Glob CLI 爆出高危命令注入漏洞 CVE-2025-64756，攻击者可利用恶意文件名执行任意命令
Node.js 生态系统中广泛使用的文件模式匹配工具 `glob` 的 CLI（命令行界面）版本被发现存在一个高危安全漏洞（CVE-2025-64756 / GHSA-5j98-mcp5-4vw2）。该漏洞源于其 `-c` 或 `--cmd` 选项在处理恶意构造的文件名时，会以 `shell:true` 的方式执行匹配到的命令，从而允许攻击者注入并执行任意系统命令。这意味着，如果用户在处理不受信任的目录结构时使用了该选项，攻击者可能通过精心设计的文件名获得代码执行权限。

该漏洞直接影响 `glob` 包的 CLI 工具，其核心库本身不受影响。漏洞的根本原因在于 `-c/--cmd` 参数在将匹配到的文件名传递给子进程执行时，未对输入进行充分的清理或转义，导致命令注入成为可能。安全公告明确指出，当处理包含恶意内容的文件名时，此缺陷可被利用。目前，维护者已在 `glob` v11.1.0 版本中修复了此问题。

对于依赖 `glob` CLI 进行自动化脚本或构建流程的开发者与组织而言，此漏洞构成了直接的安全风险。虽然利用需要攻击者能够控制目标系统上的文件名，并且在用户主动使用 `-c` 选项的场景下才能触发，但在 CI/CD 管道、开发工具链或处理用户上传文件的场景中，风险依然显著。所有使用 `glob` CLI 且版本低于 11.1.0 的用户应立即升级至最新版本，并审查其工作流中是否存在使用该危险选项的情况，以避免潜在的供应链攻击或本地权限提升风险。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Node.js, 供应链安全, 命令注入, CVE-2025-64756, 开源安全
- **Credibility**: unverified
- **Published**: 2026-04-21 22:23:01
- **ID**: 74900
- **URL**: https://whisperx.ai/en/intel/74900