关键漏洞信息 漏洞概述 漏洞名称: 通过 JSON 导入的路径遍历导致任意文件读取 CVE ID: CVE-2026-25062 漏洞级别: 中等 (5.5/10) 漏洞类型: CWE-22 (路径遍历) 影响版本及修复版本 受影响版本: <1.4.0 已修复版本: 1.4.0 漏洞细节 文件: server/queues/tasks/ImportJSONTask.ts:103-117 问题: 在 JSON 导入过程中,从导入的 JSON 中获取 attachments[].key 的值并直接传递给 path.join(rootPath, node.key),然后使用 fs.readFile 读取文件,而没有进行验证。通过嵌入路径遍历序列(如 或绝对路径),攻击者可以读取服务器上的任意文件并将其作为附件导入。 攻击前提条件 管理员权限(执行 importCollection 的权限) 使用基于 JSON 的导入功能 上传用于导入的精心制作的 ZIP 文件 演示步骤 1. 创建包含有效 JSON 导出结构的 ZIP 文件。 2. 上传一个恶意的 ZIP 文件。 3. 开始导入过程(触发漏洞)。 4. 搜索导入附件的列表。 5. 获取附件的签名 URL。 6. 下载并访问实际文件内容。 潜在影响 敏感服务器文件信息泄露,包括但不限于: - 环境配置文件(.env 文件) - 应用程序配置文件 - 私钥 - 数据库连接凭证 受影响文件和行号 ImportJSONTask.ts:103-117(脆弱代码行) collections.ts:164-197(导入初始化) FileOperationCreatedProcessor.ts:20-31(JSON 导入任务触发器) ImportTask.ts:212-245(ZIP 解压逻辑)