漏洞概述 漏洞名称: p2r3 convert up to 6998584ace3e11db66dff0b423612a5cf91de75b API buildCache.js Bun.serve pathName path traversal CVE编号: CVE-2026-6636 CVSS评分: 3.9 漏洞类型: 路径遍历(Path Traversal) 描述: 在 的 文件中, 函数存在路径遍历漏洞。通过操纵 参数,攻击者可以访问受限目录之外的文件。该漏洞已被标记为 ,并且有公开的利用代码。 影响范围 受影响产品: p2r3 convert 受影响版本: 6998584ace3e11db66dff0b423612a5cf91de75b 影响组件: 中的 函数 影响级别: 关键(Critical) 利用难度: 容易 远程利用: 是 本地利用: 否 修复方案 当前状态: 无已知缓解措施 建议: 由于没有提供具体的修复方案,建议用户尽快联系供应商获取补丁或更新。同时,可以采取以下临时措施: - 限制 参数的输入,确保其不包含非法字符或路径。 - 对文件访问进行严格的权限控制,防止未授权访问。 POC代码 页面中未提供具体的POC代码,但提到有公开的利用代码。建议访问 GitHub 获取详细信息。 其他信息 发布时间: 2026年4月19日 提交者: davidgilmore 来源: GitHub