漏洞总结:NiceGUI 文件上传路径遍历漏洞 1. 漏洞概述 在 Windows 系统环境下,NiceGUI 的文件上传功能存在路径遍历漏洞。 原因:原有的代码使用 来处理上传文件名,该对象仅会剥离正斜杠( ),而忽略了反斜杠( )。 后果:攻击者可以构造包含反斜杠的路径(例如 ),从而绕过文件名清洗逻辑,实现目录遍历并上传恶意文件。 2. 影响范围 受影响文件: 受影响功能:文件上传( )过程中的文件名处理逻辑。 3. 修复方案 引入并使用了 函数来替代原有的 处理逻辑。该函数通过显式的 操作,分别对正斜杠( )和反斜杠( )进行分割,确保只保留文件名部分,彻底剥离路径信息。 核心修复代码: 4. POC 与测试用例 在 中,针对该修复方案编写了以下测试用例(POC),验证了不同路径输入下的文件名清洗结果: