漏洞关键信息总结 1. 漏洞概述 漏洞类型: 路径遍历 (Path Traversal) 受影响组件: 组件 漏洞描述: 在 中发现路径遍历漏洞。该漏洞源于 与 函数的不当使用。 仅检查路径是否以 开头,而 在解析 参数时(例如输入 )会返回类似 的路径,从而绕过目录限制。 后果: 攻击者可读取任意文件(如包含 API 密钥的敏感配置文件)或删除关键系统文件(如 ),导致信息泄露或服务拒绝 (DoS)。 2. 影响范围 受影响版本: 具体影响: 信息泄露: 可读取敏感 JSON 文件(如 ),导致 API 密钥和配置参数泄露。 拒绝服务 (DoS): 可删除 或 等关键文件,导致应用无法启动。 3. 修复方案 状态: Fixed (已修复) 修复者: Timothy Carambat 4. 利用代码 (PoC) 读取敏感文件 (泄露 API Key): 删除任意文件 (DoS): 漏洞原理代码片段 (JavaScript):