1.漏洞描述 在 CPython 的 venv 模塊和命令行接口（CLI）中發現了一個漏洞，問題出在創建虛擬環境時提供的路徑名沒有正確加引號，從而允許攻擊者向虛擬環境的“激活”腳本中注入命令（即通過 source venv/bin/activate 激活時）。這意味著攻擊者控制的虛擬環境在激活時可能會執行命令。對于沒有被攻擊者創建的虛擬環境，或者在使用之前沒有激活的虛擬環境（比如通過 ./venv/bin/python 使用），不受此漏洞影響。 2.影響產品(系統版本 是否受影響) 銀河麒麟高級服務器操作系統 V10 HPC 不影響 銀河麒麟高級服務器操作系統 V10 SP3 2309a 不影響 銀河麒麟云底座操作系統 V10 不影響 3.漏洞評分( 漏洞編號 危害程度 CVSS 3.1 評分 漏洞類型) CVE-2024-9287 中等 6.3 其他 漏洞評分向量：CVSS:3.0/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:H/A:N 4.修復方案 無需修復