Zefiro Cloud APP 任意文件覆盖漏洞 #14 漏洞概述 漏洞类型: 任意文件覆盖漏洞 (Arbitrary File Overwrite) 漏洞组件: 根本原因: 处理导入文件时安全验证不足,恶意应用可控制文件名和内容,利用路径遍历覆盖应用内部存储的敏感文件 影响范围 攻击场景 无需复杂用户交互,受害者打开恶意应用即可自动触发 覆盖关键配置文件或二进制文件后,应用可能崩溃、无法启动或执行任意代码 POC代码/利用演示 覆盖前 (Before Overwrite): 覆盖后 (After Overwrite): 修复方案 页面未提供官方修复方案。建议: 对导入文件的文件名进行严格校验,过滤路径遍历字符(如 ) 限制文件写入目录,禁止写入应用内部存储的关键路径 验证文件内容类型,确保仅允许预期的文件格式