目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CWE-24 路径遍历:’../filedir’ 类漏洞列表 94

CWE-24 路径遍历:’../filedir’ 类弱点 94 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-24 即路径遍历漏洞,属于输入验证缺陷。攻击者通过在请求参数中注入“../”序列,操纵程序构造的文件路径,从而突破受限目录限制,访问系统敏感文件或目录。开发者应避免直接使用外部输入拼接路径,需对输入进行严格过滤与规范化处理,确保最终路径始终位于预期的安全目录内,防止非法越权访问。

MITRE CWE 官方描述
CWE:CWE-24 路径遍历 (Path Traversal): '../filedir' 英文:产品使用外部输入来构建一个应位于受限目录内的路径名,但它未能正确中和 (neutralize) 可能解析到该目录之外位置的 "../" 序列。 这允许攻击者遍历文件系统,以访问受限目录之外的文件或目录。对于使用 "/" 作为目录分隔符的操作系统(如基于 UNIX 和 Linux 的系统),"../" 操纵是标准的操纵方式。在某些情况下,它对于绕过保护方案很有用,这些方案存在于支持 "/" 但不是主要分隔符的环境中,例如 Windows,它使用 "\" 但也可以接受 "/"。
常见影响 (1)
Confidentiality, IntegrityRead Files or Directories, Modify Files or Directories
缓解措施 (2)
ImplementationAssume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range…
ImplementationInputs should be decoded and canonicalized to the application's current internal representation before being validated (CWE-180). Make sure that the application does not decode the same input twice (CWE-174). Such errors could be used to bypass allowlist validation schemes by introducing dangerous inputs after they have been checked.
CVE ID标题CVSS风险等级Published
CVE-2025-2961 OpenSolon 安全漏洞 — opensolon 4.3 Medium2025-03-30
CVE-2025-30343 OpenSlides 安全漏洞 — OpenSlides 3.0 Low2025-03-21
CVE-2025-1599 SourceCodester Best Church Management Software 安全漏洞 — Best Church Management Software 5.4 Medium2025-02-24
CVE-2025-1588 PHPGurukul Online Nurse Hiring System 安全漏洞 — Online Nurse Hiring System 6.5 Medium2025-02-23
CVE-2025-1584 Solon 安全漏洞 — Solon 4.3 Medium2025-02-23
CVE-2025-1086 Safetytest Cloud-Master Server 安全漏洞 — Cloud-Master Server 5.3 Medium2025-02-07
CVE-2025-0390 JeeWMS 安全漏洞 — Jeewms 5.3 Medium2025-01-11
CVE-2024-13130 Dahua多款产品 安全漏洞 — IPC-HFW1200S 4.3 Medium2025-01-05
CVE-2024-12897 Intelbras多款产品 安全漏洞 — VIP S3020 G2 4.3 Medium2024-12-22
CVE-2024-12482 wetech-cms 安全漏洞 — wetech-cms 4.3 Medium2024-12-11
CVE-2022-20656 Cisco Evolved Programmable Network Manager和Cisco Prime Infrastructure 安全漏洞 — Cisco Evolved Programmable Network Manager (EPNM) 6.5 Medium2024-11-15
CVE-2024-10379 EsafeNet CDG 安全漏洞 — CDG 4.3 Medium2024-10-25
CVE-2024-6786 MOXA MXview One Series 安全漏洞 — MXview One Series 6.5 Medium2024-09-21
CVE-2024-8409 ABCD2 安全漏洞 — ABCD2 4.3 Medium2024-09-04
CVE-2024-6746 EasySpider 安全漏洞 — EasySpider 4.3 Medium2024-07-15
CVE-2024-4790 Desdev DedeCMS 安全漏洞 — DedeCMS 4.3 Medium2024-05-11
CVE-2024-3686 Desdev DedeCMS 安全漏洞 — DedeCMS 4.3 Medium2024-04-12
CVE-2024-3227 eoffice 安全漏洞 — eoffice OA 4.7 Medium2024-04-03
CVE-2024-3218 IP Network Intercom Broadcasting System 安全漏洞 — IP Network Intercom Broadcasting System 5.4 Medium2024-04-02
CVE-2024-2825 EasyAdmin 安全漏洞 — EasyAdmin 6.3 Medium2024-03-22
CVE-2024-2564 PandaX 安全漏洞 — PandaX 6.3 Medium2024-03-17
CVE-2024-2563 PandaX 安全漏洞 — PandaX 5.4 Medium2024-03-17
CVE-2024-2318 ZKTeco ZKBio Media 安全漏洞 — ZKBio Media 4.3 Medium2024-03-08
CVE-2024-1459 Red Hat Undertow 安全漏洞 5.3 Medium2024-02-12
CVE-2024-0989 Sichuan Yougou Technology KuERP 安全漏洞 — KuERP 5.4 Medium2024-01-29
CVE-2024-0882 LinkWeChat 安全漏洞 — LinkWechat 4.3 Medium2024-01-25
CVE-2023-52076 Atril 安全漏洞 — atril 8.5 High2024-01-25
CVE-2024-0465 Employee Profile Management System 安全漏洞 — Employee Profile Management System 3.5 Low2024-01-12
CVE-2024-0417 DeShang DSShop 安全漏洞 — DSShop 5.4 Medium2024-01-11
CVE-2024-0416 DeShang DSMall 安全漏洞 — DSMall 5.4 Medium2024-01-11

CWE-24(路径遍历:’../filedir’) 是常见的弱点类别,本平台收录该类弱点关联的 94 条 CVE 漏洞。