关键漏洞信息 漏洞概述 漏洞类型: 路径遍历 (Path Traversal) 受影响项目: CoinExchange_CryptoExchange_Java CVE编号: CVE-2025-4893 发现日期: 2025-05-15 漏洞细节 受影响版本: master 分支 受影响API: 和 代码路径: 漏洞描述 在 子项目中,文件上传端点 和 缺乏适当的路径验证。攻击者可以通过构造路径参数将文件上传到系统上的任意位置。 测试环境设置 JDK版本: JDK 8 构建工具: Maven 数据库: MySQL 5.7, Redis, MongoDB 配置文件更新: 需要更新 文件中的相关配置 复现步骤 1. 上传带有构造文件名的文件: 上述命令包含构造的文件名 ,执行后文件将被上传到对应路径。 2. 上传逻辑处理: - 在 的第97行和 的第19行,逻辑缺乏对上传文件名的检查,允许攻击者上传文件到任意路径。 影响范围 接口允许未登录用户上传文件。 接口要求登录后上传文件。 ``` 这些信息总结了漏洞的关键细节、影响范围以及复现步骤,帮助理解该路径遍历漏洞的具体情况。