关键信息 漏洞概述 CVE编号: CVE-2025-6534 漏洞类型: 任意文件删除 (Arbitrary File Deletion) 受影响产品: novv-plus 受影响版本: v0.1.3 CWE编号: CWE-862 (Missing Authorization), CWE-285 (Improper Authorization) 漏洞细节 问题描述: 中的 方法存在直接对象引用(IDOR)攻击,由于缺少授权验证,任何认证用户可以通过简单的猜测或已知的 删除系统中的任何文件。 代码片段: POC (概念验证) 操作步骤: - 登录系统并访问文件管理页面。 - 使用特定的请求参数(如 )触发文件删除功能。 - 成功删除指定文件。 影响 任何认证用户可以删除系统中的任意文件,导致数据丢失和潜在的安全风险。