发布日期：2025-11-17
更新日期：2026-01-30

受影响系统：

isaacs Glob >= 11.0.0 < 11.1.0
isaacs Glob >= 10.2.0 < 10.5.0

描述：

---

CVE(CAN) ID: CVE-2025-64756

Glob是isaacs个人开发者的一个文件匹配软件。
Glob 10.2.0至10.5.0之前版本和11.0.0至11.1.0之前版本存在操作系统命令注入漏洞，该漏洞源于-c/--cmd选项允许执行任意命令，攻击者可利用该漏洞用户或CI账户权限下执行任意代码。

<*链接：https://github.com/isaacs/node-glob/security/advisories/GHSA-5j98-mcp5-4vw2
*>

建议：

---

厂商补丁：

isaacs
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/isaacs/node-glob/tags

浏览次数：240
严重程度：0（网友投票）