发布日期：2023-01-04
更新日期：2023-03-14

受影响系统：

Bruno Robert window-control < 1.4.5

描述：

---

CVE(CAN) ID: CVE-2022-25926

window-control是Bruno Robert个人开发者的数据包，用于执行与robot.js类似的任务（无需鼠标控制），但无需编译外部C++代码。
window-control 1.4.5之前版本的sendKeys函数存在命令注入漏洞，该漏洞源于程序未对输入进行正确过滤。攻击者可利用该漏洞执行任意命令。

<**>

建议：

---

厂商补丁：

Bruno Robert
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/bruno-robert/window-control/commit/075c854534a749d887655a906759f5a7eee95173

浏览次数：523
严重程度：0（网友投票）