漏洞总结 漏洞概述 路径匹配函数存在路径边界绕过漏洞。原实现使用简单的字符串前缀匹配( / ),导致授权路径无法正确限制子目录边界。例如:授权路径为 时,攻击者可访问 或 等未授权路径。 影响范围 受影响版本: v1.4.1 及之前版本 受影响组件: 函数中的路径匹配逻辑 风险场景: 基于路径的访问控制绕过,可能导致未授权资源访问 修复方案 新增 函数,强制要求路径段边界匹配: 根路径 始终允许 完全相等路径允许 子目录必须严格以 分隔(如 允许 ,但拒绝 ) 关键代码变更 修复前(漏洞代码): 修复后(安全代码): POC/测试代码(验证修复)