[security] fix(project): ignore symlinked imported notes #25831 漏洞概述 该漏洞存在于 Radare2 的导入项目功能中。当导入一个包含符号链接 的恶意 项目归档文件时,Radare2 会信任该符号链接路径。这导致正常的 (项目笔记)操作(如读取或写入)被重定向到项目目录( )之外的任意文件。攻击者可以利用此漏洞实现本地任意文件读写。 影响范围 受影响代码: 严重程度: Medium (CVSS v3.1 6.6) 利用条件: 需要导入一个恶意的 归档文件,并使用普通的笔记命令。 影响: 攻击者可以读取或写入导入用户权限范围内的任意文件。 修复方案 在 函数中增加逻辑,检查 路径是否解析到了项目本地目录之外。如果路径通过符号链接指向了项目目录外部,则忽略该符号链接,不再将其作为笔记文件路径。 POC 代码/利用代码 1. 构建恶意 .zrp 归档 2. 触发漏洞行为 3. 观察漏洞行为 4. 验证修复后的行为 自动化测试脚本 (来自 Test plan)