CVE-2026-11470— hsweb4 路径遍历漏洞

CVSS 6.3 · Medium EPSS 0.30% · P22 更新于 2026-06-13

可能的 ATT&CK 技术 3AI

T1059 · Command and Scripting Interpreter T1105 · Ingress Tool Transfer T1190 · Exploit Public-Facing Application

影响版本矩阵 2

厂商	产品	版本范围	状态
hs-web	hsweb-framework	`5.0.0`	affected
		`5.0.1`	affected

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-11470 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

hs-web hsweb-framework File Upload FileUploadProperties.java denied path traversal

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

A vulnerability has been found in hs-web hsweb-framework up to 5.0.1. The affected element is the function denied of the file hsweb-system/hsweb-system-file/src/main/java/org/hswebframework/web/file/FileUploadProperties.java of the component File Upload. The manipulation of the argument filename leads to path traversal. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of the patch is 8009845b577d8a2c4bbf4fdd8e8913799a714be6. It is suggested to install a patch to address this issue.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

对路径名的限制不恰当(路径遍历)

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

hsweb4 路径遍历漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

hsweb4是hs-web开源的一个基于Spring Boot 2的全响应式后台管理框架。 hsweb4 5.0.1及之前版本存在路径遍历漏洞，该漏洞源于文件上传组件中文件hsweb-system/hsweb-system-file/src/main/java/org/hswebframework/web/file/FileUploadProperties.java的denied函数对参数filename操作不当，可能导致路径遍历。攻击者可远程利用。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
hs-web	hsweb-framework	5.0.0	`cpe:2.3:a:hs-web:hsweb-framework::::::::`

二、漏洞 CVE-2026-11470 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-11470 的情报信息

请登录查看更多情报信息。

IV. Related Vulnerabilities

Same product: hsweb-framework

CVE-2026-11477
hsweb4 输入验证错误漏洞

Same vendor: hs-web

CVE-2026-11477
hsweb4 输入验证错误漏洞

Same weakness: CWE-22

V. Comments for CVE-2026-11470

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-11470— hsweb4 路径遍历漏洞

可能的 ATT&CK 技术 3AI

影响版本矩阵 2

一、漏洞 CVE-2026-11470 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-11470 的公开POC

三、漏洞 CVE-2026-11470 的情报信息

CVE-2026-11470 补丁与修复 (1)

CVE-2026-11470 厂商安全公告 (1)

CVE-2026-11470 概念验证 (1)

CVE-2026-11470 厂商页面 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2026-11470

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-11470— hsweb4 路径遍历漏洞

可能的 ATT&CK 技术 3AI

影响版本矩阵 2

一、 漏洞 CVE-2026-11470 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-11470 的公开POC

三、漏洞 CVE-2026-11470 的情报信息

CVE-2026-11470 补丁与修复 (1)

CVE-2026-11470 厂商安全公告 (1)

CVE-2026-11470 概念验证 (1)

CVE-2026-11470 厂商页面 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2026-11470

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-11470 基础信息