WebDAV 驱动后端跟随符号链接导致主机文件系统读写漏洞 漏洞概述 漏洞名称: WebDAV drive backend follows symlinks outside DriveRoot, enabling host filesystem read/write CVE ID: CVE-2026-42275 CVSS 评分: 8.7 / 10 (High) 影响组件: 的 WebDAV 后端 ( ) 漏洞类型: 路径遍历 (Path Traversal) 漏洞描述: 的 WebDAV 后端在限制路径遍历时仅依赖词法规范化,未正确处理符号链接。当共享的 指向一个指向 DriveRoot 外部的符号链接时,远程 WebDAV 消费者可以读取文件并在主机文件系统上写入或覆盖文件,且不受操作系统权限限制。 影响范围 受影响版本: 修复版本: 攻击向量: 网络 (Network) 攻击复杂度: 高 (High) 特权要求: 无 (None) 用户交互: 无 (None) 范围: 已改变 (Changed) 机密性影响: 高 (High) 完整性影响: 高 (High) 可用性影响: 无 (None) 修复方案 升级 至版本 或更高版本。 受影响组件代码位置 — (line 140), (line 176), (line 133), (line 151) — (line 51-52)