关键漏洞信息 漏洞类型 路径遍历漏洞 发现日期 2025-06-21 漏洞详情 受影响项目: Digital-Infrastructure 受影响版本: v9.0.7 受影响API: /fileManager/rest/deleteFile 代码路径: /Digital-Infrastructure-0.6.7/y9-digitalbase-webapp/y9-module-filemanager/risensoft.y9module-webapp-filemanager/src/main/java/net/risensoft/y9public/controller/Y9FileController.java:38 测试环境设置 1. JDK 11 2. Maven构建子项目:y9-digitalbase-webapp/y9-module-filemanager 3. 编辑application.yml配置文件存储根目录 4. 启动MySQL数据库 5. 使用IDEA启动项目,主类:FileManagerApplication.java 复现步骤 构造文件名删除文件: 代码分析 删除逻辑在Y9FileController.java中处理。 外部输入参数 和 直接与配置的根目录拼接,执行文件删除操作。 相关漏洞 类似问题出现在以下API中: - /fileManager/rest/retrieveFileStream - /fileManager/rest/storeFile