漏洞概述 函数的安全模型被重新澄清。之前的版本试图通过禁止父目录引用( )和绝对路径来防止路径遍历攻击,但该限制已被撤销。现在的行为允许路径遍历(类似于 函数),因此该函数被设计为仅用于受信任的输入。 影响范围 Python 标准库 模块中的 函数。 修复方案 移除了 中用于阻止路径遍历的严格检查代码(即原本抛出 禁止 和绝对路径的逻辑)。同时更新了文档,明确指出 不验证 是否属于 ,并警告开发者在使用用户提供的路径时应自行进行验证(如检查扩展名或已知资源列表)。 关键代码/文档变更 文档变更 (Doc/library/pkgutil.rst) - 安全警告: 代码变更 (Lib/pkgutil.py) - 被移除的安全检查: