关键信息 漏洞概述 问题: Path Traversal via Malicious MSG Attachment Allows Arbitrary File Write 发布者: william-u10d 发布时间: 昨日 漏洞级别: Critical CVE ID: CVE-2025-64712 影响范围和严重性 CVSS v3 Severity: 9.8 / 10 CVSS v3 Base Metrics: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: None - User Interaction: None - Scope: Unchanged - Confidentiality: High - Integrity: High - Availability: High 漏洞细节 受影响功能: 函数在处理带有恶意附件的 MSG 文件时,允许攻击者编写或覆盖任意文件。 影响: - 任意文件覆盖 - 远程代码执行 (通过覆盖配置文件、cron jobs 或 Python 包) - 数据破坏 - 拒绝服务 漏洞详情 该库在处理 MSG 文件时未对附件文件名进行清理,允许目录遍历序列逃离预期的输出目录。 受影响的版本和修补版本 受影响版本: <= 0.18.17 修补版本: 0.18.18 缓解措施 在处理不受信任的 MSG 文件时,设置 。 避免处理来自不受信任来源的 MSG 文件。 在处理前实施额外的文件名验证。