关键漏洞信息 漏洞概述 CVE编号: CVE-2025-4511 发现日期: 2025-04-22 漏洞类型: 路径遍历漏洞 漏洞细节 受影响项目: spring-boot-quick 受影响版本: master分支 受影响API: /transfer 代码位置: /spring-boot-quick-master/quick-img2txt/src/main/java/com/quick/controller/Img2TxtController.java:45 测试环境设置 1. JDK 8 2. Maven构建子项目: quick-img2txt 3. 使用IDEA启动项目,主类为Application.java 复现步骤 上传文件到任意路径 - 相关代码位于Img2TxtController.java第47行和Img2TxtService.java第51行。 - 缺乏对输入路径的验证,如检查 或 等字符。 示例代码片段 根目录确定 文件上传的根目录由以下代码确定: 利用方法 使用真实图片调用API,绕过预条件,并构造特定的 。 构造的 中包含多个 段,与 相关联。 执行命令后,文件 将被上传到构造的路径。