关键信息 漏洞类型: Directory Traversal 受影响的包: files-bucket-server 引入日期: 23 Mar 2025 CVE编号: CVE-2025-8021 CVSS评分: 8.7 (高危) 修复建议: 目前没有固定版本 漏洞描述: 受影响版本的此包易受目录遍历攻击,攻击者可以遍历文件系统并访问目标目录之外的文件。 PoC步骤: 1. 安装files-bucket-server包: 2. 创建新目录: 3. 向目录添加文件并在根目录外创建文件: 4. 使用files-bucket-server的编程API定义server.js文件,限制对特定目录的访问(但未能成功): 5. 运行服务器: 6. 访问目录内的文件以确保一切正常: 7. 尝试使用RESTful API删除目录外的文件: 8. 文件secret.txt将被删除,证明路径遍历漏洞的存在。 参考文献: POC CVSS基础分数: 版本4.0和3.1 Snyk ID: SNYK-JS-FILESBUCKETSERVER-9510944 发布日期: 22 Jul 2025 披露日期: 23 Mar 2025 贡献者: Liran Tal