漏洞总结 漏洞概述: 这是一个路径遍历 (Path Traversal) 漏洞。攻击者可以通过构造特殊的文件名参数,绕过限制访问 或 目录之外的系统文件,从而读取敏感数据。 影响范围: 主要影响 中的 方法以及 中的 接口。 修复方案: 1. 路径验证: 在 中新增 方法,使用 获取文件的绝对路径,并严格检查该路径是否位于允许的目录( 或 )内。如果路径逃逸出允许目录,抛出 。 2. 异常处理: 在 中捕获 和 ,返回友好的 JSON 错误响应,防止服务器报错或泄露敏感堆栈信息。 关键修复代码 文件: 文件: **