漏洞关键信息 漏洞标题: Windows path traversal via backslash in middleware.Static default filesystem CVE ID: CVE-2026-25766 严重性: Moderate (5.3/10) 受影响版本: >= 5.0.0, < 5.0.3 修复版本: 5.0.3 描述 总结: - 问题出现在 Echo 的 使用默认文件系统时,允许通过反斜杠进行路径遍历,使未授权的远程用户可以读取静态根目录之外的文件。 细节: - 在 Windows 上, 中的请求路径未转义并使用 进行规范化。 - 不将反斜杠 ( ) 作为路径分隔符处理,因此 序列保留在清理后的路径中。 - 这导致检查默认文件系统时, 调用 , 把反斜杠 ( ) 作为路径分隔符,从而允许遍历到静态根目录之外。 代码问题 使用 清理路径不正确,造成路径遍历漏洞。 在 Windows 上将反斜杠 ( ) 解释为路径分隔符。 PoC (Proof of Concept) 系统: Windows 测试代码: 如何验证漏洞 在 Windows 上使用示例路径 ,读取系统文件,证明了漏洞的可利用性。 影响 任何未认证的远程用户只需要路径遍历的能力就能读取 Echo 进程权限范围内的本地文件,当 使用默认文件系统时。 这个漏洞再次引入了类似于 CVE-2020-36565 的问题(在 v4 中已通过切换到 OS-aware 清理解决),但在 v5 中默认文件系统仍然存在问题。