关键漏洞信息 漏洞概述 漏洞类型: 路径遍历漏洞 (Path Traversal) 受影响项目: X-SpringBoot 发现日期: 2025-06-16 漏洞细节 问题描述: 在X-SpringBoot项目中,文件上传API 存在路径遍历问题。该方法使用外部参数创建临时文件,并在复制后删除临时文件。攻击者可以通过构造临时文件的路径来删除系统上的任意 文件。此外,调用此接口不需要任何权限验证。 受影响版本: master分支 受影响API: 代码位置: 测试环境设置 JDK版本: JDK 8 构建工具: Maven 数据库: MySQL 云存储配置: 需要修改 中的相关配置 复现步骤 1. 代码分析: 相关代码位于 的第83行。该代码使用外部参数创建临时文件并在文件上传后删除,但缺乏对文件路径合法性的验证。 2. 删除任意文件: 使用以下命令测试路径遍历问题: 执行命令后,可以发现 文件已被删除,成功绕过代码中的安全限制。