关键漏洞信息 漏洞编号: #1931558 提交人: Takashi Kajinami 提交日期: Aug 03, 2021 变更ID: I47931bdf8bbccb940d4c98c47f16a6eef27c026a 漏洞描述 这个漏洞涉及到允许使用“原始”定义的问题。从变更 合并后,mistralclient 会判断传递的值是否是定义的文件路径名、文件URI或实际定义。然而,这种行为在客户端在服务器端使用时会导致问题,允许访问服务器文件或内部服务器中的任何内容。 解决方案 引入新的 变量来禁用回退行为,确保客户端将输入视为原始内容。 相关文件修改 代码审查和验证 审查人: Akihiro Motoki, Eyal, Adriano Petrich 最终审查状态: 合并