从该网页截图中,我们可以提取到以下关于漏洞的关键信息: 漏洞名称:Directory Traversal through crafted HTTP responses 发布者:TobiX 发布时间:5 days ago 受影响的包: - dosage (pip) 受影响的版本: - <3.2 已修复的版本: - 3.2 漏洞详情: 严重性:High (8.8/10) CVSS v3 Base Metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: None - User interaction: Required - Scope: Unchanged - Confidentiality: High - Integrity: High - Availability: High CVE ID:CVE-2025-64184 弱点类型:CWE-22 发现者:TobiX 影响: 在下载漫画图片时,Dosage根据远程漫画的不同方面构造目标文件名(如页面URL、图片URL、页面内容等)。尽管basename正确地去除了目录遍历字符,但文件扩展名从HTTP Content-Type头获取。这使得远程攻击者(或中间人,如果漫画通过HTTP提供)在满足其他条件时,可以将任意文件写入目标目录之外的位置。 修复措施: 该问题已在3.2版本中修复。修复是小且自包含的,因此分发包可能选择将其回移植到旧版本。 绕过方法: 无 参考资料: Fix: 336a968