CWE-24 路径遍历：’../filedir’ 类漏洞列表 91

CWE-24 路径遍历：’../filedir’ 类弱点 91 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-24 即路径遍历漏洞，属于输入验证缺陷。攻击者通过在请求参数中注入“../”序列，操纵程序构造的文件路径，从而突破受限目录限制，访问系统敏感文件或目录。开发者应避免直接使用外部输入拼接路径，需对输入进行严格过滤与规范化处理，确保最终路径始终位于预期的安全目录内，防止非法越权访问。

MITRE CWE 官方描述

CWE：CWE-24 路径遍历 (Path Traversal): '../filedir' 英文：产品使用外部输入来构建一个应位于受限目录内的路径名，但它未能正确中和 (neutralize) 可能解析到该目录之外位置的 "../" 序列。这允许攻击者遍历文件系统，以访问受限目录之外的文件或目录。对于使用 "/" 作为目录分隔符的操作系统（如基于 UNIX 和 Linux 的系统），"../" 操纵是标准的操纵方式。在某些情况下，它对于绕过保护方案很有用，这些方案存在于支持 "/" 但不是主要分隔符的环境中，例如 Windows，它使用 "\" 但也可以接受 "/"。

常见影响 (1)

Confidentiality, IntegrityRead Files or Directories, Modify Files or Directories

缓解措施 (2)

ImplementationAssume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range…

ImplementationInputs should be decoded and canonicalized to the application's current internal representation before being validated (CWE-180). Make sure that the application does not decode the same input twice (CWE-174). Such errors could be used to bypass allowlist validation schemes by introducing dangerous inputs after they have been checked.

CVE ID	标题	CVSS	风险等级	Published
CVE-2026-33431	Roxy-WI 安全漏洞 — roxy-wi	8.1^AI	High^AI	2026-04-20
CVE-2026-40318	SiYuan 安全漏洞 — siyuan	8.5	High	2026-04-16
CVE-2026-41082	opam 安全漏洞 — opam	7.3	High	2026-04-16
CVE-2026-39813	Fortinet FortiSandbox 安全漏洞 — FortiSandbox	9.1	Critical	2026-04-14
CVE-2026-28538	Huawei HarmonyOS 路径遍历漏洞 — HarmonyOS	5.9	Medium	2026-03-05
CVE-2024-43035	Fonoster 安全漏洞 — Fonoster	5.8	Medium	2026-03-05
CVE-2026-21857	REDAXO 安全漏洞 — redaxo	6.5	-	2026-01-07
CVE-2026-21436	eopkg 安全漏洞 — eopkg	9.1	-	2026-01-01
CVE-2025-68430	CVAT.ai CVAT 安全漏洞 — cvat	4.3^AI	Medium^AI	2025-12-19
CVE-2025-67845	Mintlify 安全漏洞 — Mintlify Platform	6.4	Medium	2025-12-19
CVE-2025-13199	Code-Projects Email Logging Interface 安全漏洞 — Email Logging Interface	5.3	Medium	2025-11-15
CVE-2023-53691	Hikvision CSMP iSecure Center 安全漏洞 — CSMP iSecure Center	8.3	High	2025-10-22
CVE-2025-60344	D-Link DSR-150 安全漏洞 — DSR-150	8.6	High	2025-10-21
CVE-2025-59342	esm.sh 安全漏洞 — esm.sh	7.5^AI	High^AI	2025-09-17
CVE-2025-46094	Liquidfiles 安全漏洞 — LiquidFiles	3.8	Low	2025-08-04
CVE-2025-44962	RUCKUS SmartZone 安全漏洞 — SmartZone	5.0	Medium	2025-08-04
CVE-2025-54769	XORUX LPAR2RRD 安全漏洞 — LPAR2RRD	8.8^AI	High^AI	2025-07-28
CVE-2025-45582	GNU Tar 安全漏洞 — Tar	4.1	Medium	2025-07-11
CVE-2025-53513	Juju 安全漏洞 — Juju	8.8	High	2025-07-08
CVE-2025-48050	DOMPurify 安全漏洞 — DOMPurify	7.5	High	2025-05-15
CVE-2025-47423	Personal Weather Station Dashboard 安全漏洞 — Personal Weather Station Dashboard	5.8	Medium	2025-05-07
CVE-2025-27920	Output Messenger 安全漏洞 — Output Messenger	7.2	High	2025-05-05
CVE-2024-53636	Serosoft Solutions Academia Student Information System EagleR 安全漏洞 — Academia Student Information System	6.4	Medium	2025-04-26
CVE-2025-46646	Artifex Ghostscript 安全漏洞 — Ghostscript	4.5	Medium	2025-04-26
CVE-2025-43928	Infodraw Media Relay Service 安全漏洞 — Media Relay Service	5.8	Medium	2025-04-20
CVE-2025-43919	GNU Mailman 安全漏洞 — Mailman	5.8	Medium	2025-04-20
CVE-2025-32807	FusionDIrectory 安全漏洞 — FusionDirectory	5.3	Medium	2025-04-10
CVE-2025-2961	OpenSolon 安全漏洞 — opensolon	4.3	Medium	2025-03-30
CVE-2025-30343	OpenSlides 安全漏洞 — OpenSlides	3.0	Low	2025-03-21
CVE-2025-1599	SourceCodester Best Church Management Software 安全漏洞 — Best Church Management Software	5.4	Medium	2025-02-24

CWE-24（路径遍历：’../filedir’）是常见的弱点类别，本平台收录该类弱点关联的 91 条 CVE 漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CWE-24 路径遍历：’../filedir’ 类漏洞列表 91

目标达成感谢每一位支持者 — 我们达成了 100% 目标！