漏洞概述 该漏洞涉及在 项目中, 文件中的 方法。该方法在处理 ZIP 文件时,未正确验证文件路径,导致可能存在路径遍历漏洞(Zip Slip)。攻击者可以通过构造恶意的 ZIP 文件,将文件提取到非预期的目录中,从而可能执行任意代码或访问敏感文件。 影响范围 项目: gramps-webapi 文件: 方法: 修复方案 修复方案是在 方法中添加路径验证逻辑,确保提取的文件路径不会超出预期的临时目录。具体修改如下: 此修复确保了每个文件的路径都在预期的临时目录内,防止了路径遍历攻击。