关键信息 漏洞概述 类型: 路径遍历 CWE: CWE-22 CVE ID: CVE-2026-25732 CVSS v3 评分: 7.5/10 影响版本及修复 受影响版本: <= 3.6.1 修复版本: 3.7.0 漏洞细节 漏洞组件: 易受攻击的方法: 和 根本原因: 方法不对提供的路径参数进行任何验证,允许写入任何文件系统位置。 影响 可以在应用程序进程可写的位置写入文件 可以覆盖 Python 应用程序文件以在重启时实现远程代码执行 可以覆盖配置文件以改变应用程序行为 可以写入 SSH 密钥、systemd 单元或 cron 作业以获得持久访问 可以通过破坏关键文件来拒绝服务 利用性 无需身份验证即可轻松利用。攻击者只需上传一个恶意文件即可逃脱上传目录。 修复建议 用户: 维护者: