漏洞概述 该漏洞涉及 项目中的 后端模式。具体问题是, 实现现在防止了符号链接遍历超出配置的共享目录。 、 、 、 和 现在拒绝解析到共享目录之外的符号链接,同时继续允许解析到该树内的符号链接。 影响范围 受影响版本: 及之前版本。 影响功能: 后端模式的 实现。 潜在风险:攻击者可能通过符号链接遍历到共享目录之外,访问或修改未授权的文件或目录。 修复方案 修复版本: 。 修复内容: - 修改了 后端模式的 实现,确保符号链接解析不会超出配置的共享目录。 - 具体修改包括在 函数中增加了对符号链接的检查,确保解析后的路径仍在允许的范围内。 代码变更 以下是关键代码变更的简要说明: 1. 文件: - 添加了新的忽略规则,如 、 、 、 、 和 。 2. 文件: - 记录了 版本的修复内容,包括防止符号链接遍历的修复。 3. 文件: - 修改了 函数,增加了对符号链接的检查。 - 具体修改包括在解析路径时,检查解析后的路径是否在允许的范围内,如果超出范围则返回错误。 4. 文件: - 添加了新的测试用例,验证修复后的行为。 代码块 以下是 文件中 函数的关键修改部分: 总结 该漏洞的修复确保了 后端模式的 实现不会允许符号链接遍历到共享目录之外,从而提高了系统的安全性。建议用户升级到 或更高版本以修复此漏洞。