漏洞概述 该漏洞涉及在 中直接读取符号链接(symlink)的问题。具体来说,当主题挂载为模块时,从 GitHub 获取的符号链接会被剥离,导致本地读取文件时出现问题。此问题在 v0.123.0 版本中引入。 影响范围 受影响版本:v0.123.0 及之后版本 影响场景:主题挂载为模块时,本地读取文件时可能出现问题 修复方案 1. 代码修改: - 在 中,修改了 和 函数,确保正确处理符号链接。 - 在 中,修改了 和 函数,确保在文件系统不支持 时回退到 。 - 在 中,修改了 函数,确保不允许符号链接逃逸挂载点。 - 在 中,添加了测试用例,确保在 Windows 上创建符号链接时不会报错。 - 在 中,添加了测试脚本,验证符号链接的处理逻辑。 2. 测试用例: - 添加了多个测试用例,确保在不同场景下符号链接的处理逻辑正确。 POC 代码 以上是对该漏洞的关键信息总结。