漏洞关键信息 产品信息 Product Vendor: https://github.com/feiyuchuixue/sz-boot-parent Affected Product Code Repository: sz-boot-parent <= v1.3.2-beta 漏洞类型 Arbitrary_Resource_File_Read 漏洞描述 API 存在目录遍历漏洞,允许攻击者读取服务器上的任意资源文件。 漏洞证明 请求: 响应: 代码分析 在 文件中, 参数直接拼接到 中, 以 开始用于资源获取。这种不当的参数处理允许攻击者使用 序列跳出 目录,从而获得对服务器上任意资源文件的未经授权访问和读取权限。