关键信息总结 漏洞概述 漏洞类型: 任意文件删除漏洞 影响路径: 风险等级: 高风险 漏洞细节 问题代码: 关键参数: 参数直接由用户控制,未进行任何验证或路径限制。 利用场景 1. 攻击者构造带有恶意路径的请求(如 )。 2. 后端解析该路径并调用 方法,导致任意文件被删除。 3. 可用于删除应用资源、配置文件、日志,甚至关键系统文件,可能导致服务中断或进一步权限提升。 影响 高风险: 拥有有效凭证但权限较低的攻击者可以删除任意系统文件。 潜在后果: 导致服务中断、关键系统数据丢失,并可能进一步利用。 根本原因 信任用户提供的文件路径,未进行验证或路径规范化。 缺乏白名单限制和对 参数的不当过滤,直接导致路径遍历和任意删除攻击。