关键信息 漏洞概述 标题: Arbitrary file read and write on a peer machine 严重性: High CVE ID: CVE-2025-59352 发布者: gaius-qi 发布时间: yesterday 影响 描述: 该漏洞允许对等节点通过gRPC API和HTTP API发送请求,强制接收节点在任意文件系统位置创建文件并读取任意文件。这可能导致窃取其他对等节点的秘密数据并获得远程代码执行(RCE)能力。 受影响版本: <2.1.0 修复版本: 2.1.0 代码示例 修复措施 补丁: Dragonfy v2.1.0及以上版本。 变通方法: 无有效变通方法,需升级。 参考资料 第三方安全审计由Trail of Bits进行,可查看完整报告。 如有任何问题或评论,请联系dragonfly-maintainers@googlegroups.com。