关于Perl for Windows代码执行漏洞（CVE-2023-47039）的安全预警

一、 基本情况

Perl是一种功能丰富的计算机程序语言，可以运行在多种计算机平台上，适用广泛，可被用于各种任务，包括系统管理、Web开发、网络编程、GUI开发等。

二、 漏洞描述

Perl for Windows中修复了一个代码执行漏洞（CVE-2023-47039），其CVSS评分为7.8。

Perl for Windows 受影响版本中依赖系统路径环境变量来查找 shell (`cmd.exe`) 时存在安全问题。当运行使用 Windows Perl 解释器的可执行文件时，Perl 会尝试在操作系统中查找并执行 `cmd.exe`，由于路径搜索顺序问题，Perl 最初是在当前工作目录中查找 cmd.exe。低权限威胁者可将`cmd.exe`放在权限较弱的位置（如`C:\ProgramData`）来利用该漏洞，当管理员尝试从这些受影响的位置使用该可执行文件时，可以执行任意代码。

三、 影响范围

Perl< 5.32.1

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本或Perl当前最新版本：

Perl>=5.32.1

下载链接：

https://www.perl.org/get.html

五、 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-47039

https://access.redhat.com/security/cve/CVE-2023-47039

https://security-tracker.debian.org/tracker/CVE-2023-47039