漏洞关键信息总结 1. 漏洞概述 OpenHarness 引擎在处理工具的文件访问权限检查时存在路径解析缺陷(Path Resolution Bypass)。 在之前的实现中,当工具请求访问相对路径文件时,系统未将其解析为基于当前工作目录( )的绝对路径。这导致权限检查器( )可能基于错误的相对路径进行判断。攻击者可以通过构造相对路径或操纵工作目录,绕过针对特定敏感目录(如 )的访问控制策略(Deny Rules),从而非法读取或写入文件。 2. 影响范围 文件: 涉及逻辑: 函数及相关的权限检查逻辑。 3. 修复方案 新增路径解析函数: 引入 函数。该函数在权限检查前,强制将输入的相对路径解析为绝对路径(结合 和 ),确保路径的准确性。 更新权限检查调用: 修改 函数,在调用 之前,先使用新函数解析 和 中的路径。 增加测试验证: 新增单元测试 和 ,验证在相对路径下,针对特定目录的拒绝规则(Deny Rule)是否能正确生效。 4. POC/验证代码** 以下是用于验证修复效果的测试代码(位于 ):