关键漏洞信息 漏洞概述 漏洞类型: 路径遍历 (Path Traversal) CVE编号: CVE-2025-4868 发现日期: 2025-05-12 受影响项目: ecommerce-spring-reactjs 漏洞细节 问题描述: 在 项目中,文件上传端点 和 缺乏正确的路径验证。 攻击方式: 攻击者可以通过构造路径参数来上传或删除系统上的任意文件。 影响范围 项目链接: https://github.com/merikbest/ecommerce-spring-reactjs 受影响版本: master 分支 受影响API: 和 代码路径: 测试环境设置 1. JDK 8 2. Maven 构建 3. Postgres 启动 4. 使用 IDEA 启动项目,主类为 复现步骤 1. 登录系统 - 使用 POST 请求登录,获取访问令牌。 2. 上传带有构造文件名的文件 - 构造文件名 ,利用路径遍历漏洞上传文件。 漏洞代码片段 漏洞影响 文件上传: 攻击者可以上传任意格式的文件到任意路径。 文件删除: 攻击者可以覆盖和删除服务器上的文件,导致任意文件删除。