关键漏洞信息 漏洞概览 漏洞名称: 通过非默认配置任意文件写入 发布日期: 两天前 严重性: 高 (8.6/10) CVE ID: CVE-2026-24486 CVSS v3 基础度量: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 低 - 完整性影响: 高 - 可用性影响: 低 受影响包和版本 包: python-multipart (pip) 受影响版本: = 0.0.22 漏洞详情 总结: 使用非默认配置选项 和 存在路径遍历漏洞。攻击者可以通过构造恶意文件名将上传的文件写入文件系统的任意位置。 详细说明: 当 设置且 为 时,库使用 构建文件路径。如果文件名以 开头,所有前面的路径组件将被忽略,导致可以绕过预期的上传目录。 影响配置: 如果满足以下条件才会受影响: - 设置了 - 设置为 - 上传文件大小超过 (触发写入磁盘) 影响 影响: 任意文件写入到文件系统中攻击者控制的路径。 缓解措施 更新版本: 升级到版本 0.0.21 或避免在配置中使用 。