以下是关于漏洞的关键信息: 修复了导入备份功能中的安全漏洞: - 路径穿越漏洞:原代码通过 直接处理文件名,可能存在路径遍历攻击,攻击者可以通过在文件名中包含路径(例如 )来访问或写入任意文件。 新增了文件名验证逻辑: 允许的文件类型: - 特定文件名列表(如 "settings.json", "colors.json", "pages.json" 等)。 - 以 "bookmarks-" 开头且以 ".json" 结尾的文件。 禁止的路径字符: - 包含 、 或 的文件名被视为非法。 文件类型检查: - 对 JSON 文件的内容进行合法性检查,确保内容为合法的 JSON 格式。