Cloudflare Wrangler 爆出高危命令注入漏洞 CVE-2026-0933，影响 `wrangler pages deploy` 功能

Cloudflare 用于部署无服务器应用的官方命令行工具 Wrangler 被曝存在一个高危安全漏洞。该漏洞被追踪为 CVE-2026-0933 (GHSA-36p8-mvp6-cv38)，其核心是一个操作系统命令注入缺陷（CWE-78），直接影响 `wrangler pages deploy` 命令。这意味着攻击者可能通过构造恶意输入，在运行该命令的系统上执行任意代码，从而完全控制受影响的部署环境。

该漏洞存在于 Wrangler 版本 3.114.16 及更早版本中。作为响应，Cloudflare 已紧急发布修复版本 3.114.17。此次更新通过 GitHub 上的依赖管理机器人 Renovate 以安全更新的形式推送，明确标记为 `[security]` 更新。这表明漏洞已被公开披露，且修复补丁已可用，但全球范围内大量使用旧版 Wrangler 进行 Cloudflare Pages 和 Workers 部署的项目和开发团队仍面临直接风险。

对于依赖 Cloudflare 边缘计算平台的企业和开发者而言，此漏洞构成了严重的供应链安全威胁。未能及时升级到 3.114.17 版本的团队，其持续集成/持续部署（CI/CD）管道和本地开发环境可能成为攻击入口。攻击者可能利用此漏洞窃取敏感环境变量、篡改网站内容或植入后门。所有使用 `wrangler pages deploy` 命令自动化部署流程的组织必须立即验证其工具版本并应用安全更新，以缓解潜在的攻击风险。