漏洞概述 漏洞名称: 路径遍历漏洞(Path Traversal) 漏洞描述: 在 文件中,恶意构造的 文件头文件名可以被发送到客户端应用程序。在解压后,文件名在创建物理路径之前会检查路径遍历,但绝对路径不会被过滤。 发现者: cookiejacks15 在 Bugcrowd 上发现。 影响范围 受影响文件: 具体函数: 修复方案 修复文件: 修复内容: - 确保文件名是单个文件而不是路径。 - 如果文件名包含路径分隔符,则抛出 异常,中止进一步处理。 POC代码 代码变更 文件: 变更内容: 测试文件 文件: 测试内容: