漏洞概述 该漏洞涉及文件上传功能中的路径遍历和文件名校验问题。攻击者可以通过构造恶意文件名,绕过现有的校验机制,实现路径遍历,从而可能访问或修改服务器上的任意文件。 影响范围 受影响文件: 和 影响功能:文件上传功能 修复方案 1. 路径遍历修复: - 在 中,增加了对文件名的规范化处理,使用 方法去除路径中的 和 元素。 - 增加了对文件名的校验,确保文件名不包含非法字符。 2. 文件名校验增强: - 在 中,增加了对文件扩展名的校验,确保文件扩展名在允许的列表中。 - 在 中,增加了多个测试用例,验证文件名校验和路径遍历防护的有效性。 POC代码