目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-29 路径遍历:’..filename’ 类漏洞列表 61

CWE-29 路径遍历:’..filename’ 类弱点 61 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-29 属于路径遍历漏洞,指程序未正确过滤输入中的“\..\filename”序列,导致解析出受限目录外的文件路径。攻击者利用该缺陷构造恶意路径,突破沙箱限制读取敏感数据或执行任意文件操作。开发者应严格校验输入,使用白名单机制限制字符,并采用安全API规范化路径,确保最终访问位置始终位于预期目录内,从而彻底阻断遍历攻击。

MITRE CWE 官方描述
CWE:CWE-29 路径遍历:'\..\filename' 产品使用外部输入来构造一个应在受限目录内的路径名,但它未能正确中和 '\..\filename'(前导反斜杠点-点)序列,这些序列可能解析到该目录之外的位置。 这允许攻击者遍历文件系统,以访问受限目录之外的文件或目录。这与 CWE-25 类似,只是使用 "\" 而不是 "/"。有时程序会检查输入开头是否有 "..\",因此 "\..\" 可以绕过该检查。这对于绕过仅假设 "/" 分隔符有效的路径遍历保护方案也很有用。
常见影响 (1)
Confidentiality, IntegrityRead Files or Directories, Modify Files or Directories
缓解措施 (2)
ImplementationAssume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range…
ImplementationInputs should be decoded and canonicalized to the application's current internal representation before being validated (CWE-180). Make sure that the application does not decode the same input twice (CWE-174). Such errors could be used to bypass allowlist validation schemes by introducing dangerous inputs after they have been checked.
CVE ID标题CVSS风险等级Published
CVE-2026-5627 anything-llm 安全漏洞 — mintplex-labs/anything-llm 9.1AICriticalAI2026-04-07
CVE-2025-15036 MLflow 安全漏洞 — mlflow/mlflow 8.4 -2026-03-30
CVE-2026-30828 Wallos 代码问题漏洞 — Wallos 7.5 -2026-03-07
CVE-2025-66608 Yokogawa FAST/TOOLS 安全漏洞 — FAST/TOOLS 9.1AICriticalAI2026-02-09
CVE-2024-2356 LoLLMs WEBUI 安全漏洞 — parisneo/lollms-webui 9.8AICriticalAI2026-02-02
CVE-2025-12790 MQTT 安全漏洞 — ruby-mqtt 7.4 High2025-11-06
CVE-2025-58291 Huawei HarmonyOS 安全漏洞 — HarmonyOS 3.3 Low2025-10-11
CVE-2025-50185 DbGate 安全漏洞 — dbgate 6.5 -2025-07-26
CVE-2025-50184 DbGate 安全漏洞 — dbgate 7.5 -2025-07-26
CVE-2025-6209 LlamaIndex 安全漏洞 — run-llama/llama_index 7.5 -2025-07-07
CVE-2024-8248 anything-llm 安全漏洞 — mintplex-labs/anything-llm 8.8 -2025-03-20
CVE-2024-10648 Gradio 安全漏洞 — gradio-app/gradio 9.1 -2025-03-20
CVE-2024-8537 AgentScope 安全漏洞 — modelscope/agentscope 9.1 -2025-03-20
CVE-2024-12389 GPT Academic 安全漏洞 — binary-husky/gpt_academic 9.8 -2025-03-20
CVE-2024-8982 OpenLLM 安全漏洞 — bentoml/openllm 9.8 -2025-03-20
CVE-2024-7957 Danswer 安全漏洞 — danswer-ai/danswer 8.1 -2025-03-20
CVE-2024-7033 Open WebUI 安全漏洞 — open-webui/open-webui 9.8 -2025-03-20
CVE-2024-8859 MLflow 安全漏洞 — mlflow/mlflow 7.5 -2025-03-20
CVE-2024-11170 LibreChat 安全漏洞 — danny-avila/librechat 9.8 -2025-03-20
CVE-2024-13059 anything-llm 安全漏洞 — mintplex-labs/anything-llm 7.2 -2025-02-10
CVE-2024-51534 Dell PowerProtect Data Domain 安全漏洞 — PowerProtect DD 7.1 High2025-02-01
CVE-2024-21542 Luigi 安全漏洞 — luigi 8.6 High2024-12-10
CVE-2024-7774 LangChain.js 安全漏洞 — langchain-ai/langchainjs 9.8AICriticalAI2024-10-29
CVE-2024-7962 ChuanhuChatGPT 安全漏洞 — gaizhenbiao/chuanhuchatgpt 6.2AIMediumAI2024-10-29
CVE-2024-6394 LoLLMs 安全漏洞 — parisneo/lollms-webui 7.5 -2024-09-30
CVE-2024-6396 Aim 安全漏洞 — aimhubio/aim 10.0 -2024-07-12
CVE-2024-5926 Devika 安全漏洞 — stitionai/devika 9.1AICriticalAI2024-06-30
CVE-2024-6139 LoLLMs 安全漏洞 — parisneo/lollms 5.3AIMediumAI2024-06-27
CVE-2024-4841 LoLLMs 安全漏洞 — parisneo/lollms-webui 7.5 -2024-06-23
CVE-2024-5443 LoLLMs 安全漏洞 — parisneo/lollms 9.1 -2024-06-22

CWE-29(路径遍历:’..filename’) 是常见的弱点类别,本平台收录该类弱点关联的 61 条 CVE 漏洞。