漏洞关键信息总结 1. 漏洞概述 漏洞名称: Helm 插件版本路径遍历 (Plugin version path traversal) 漏洞类型: 输入验证不足 / 路径遍历 描述: 在 Helm 插件(Plugin)的元数据验证逻辑中,对 (版本)字段的验证不够严格。攻击者可以构造包含 等路径遍历字符的版本号(例如 ),试图绕过验证或访问非预期的文件系统路径。 2. 影响范围 受影响组件: Helm CLI 的插件系统 ( )。 受影响文件: (核心验证逻辑) (旧版插件验证逻辑) 相关的测试文件 ( , ) 以及部分测试用的 配置文件。 受影响版本: 该修复提交于 分支,影响 Helm 3.x 系列版本。 3. 修复方案 核心逻辑变更: 在 中新增 函数,用于严格检查字符串是否为有效的语义化版本(Semantic Version)。 在 方法中增加检查:如果 字段不为空,必须通过 验证,否则返回错误 。 在 方法中应用了相同的逻辑。 测试用例增强: 在测试文件中增加了针对路径遍历的测试用例(如 , ),确保这些非法版本会被正确拒绝。 4. 关键代码块 (POC/修复代码) 修复代码 (internal/plugin/metadata.go): 测试用例 (internal/plugin/metadata_test.go): 测试用例 (internal/plugin/metadata_v1_test.go):**