漏洞关键信息 漏洞名称 File Read Interface Case Bypass Vulnerability 影响范围 受影响版本: 3.5.4 <= 修复版本: v3.5.5 CVSS v3 基准指标 严重性: 高 (7.5/10) 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 无 影响范围: 不变 机密性影响: 高 完整性影响: 无 可用性影响: 无 CVE ID: CVE-2026-25992 漏洞概述 端点使用大小写敏感的字符串相等检查来阻止访问敏感文件。在大小写不敏感的文件系统(如 Windows)中,攻击者可以使用混合大小写的路径绕过限制并读取受保护的配置文件。 影响 读取配置文件中的敏感信息(例如,访问代码、API 密钥、同步配置等)。 服务在未进行身份验证的情况下发布时可被远程利用。 触发条件 运行在大小写不敏感的文件系统上。 调用方可以访问 (通过 或 Token 注入在公开的服务中)。 漏洞利用 (PoC) 请求: 预期结果: 成功返回配置文件的内容。 根因 路径比较使用严格的大小写敏感的字符串匹配,没有进行大小写标准化或文件验证。 修复建议 在比较前对路径进行大小写规范化(Windows/macOS)。 使用文件级别的比较方法(例如 )。 在大小写规范化后对敏感路径应用黑名单验证。 备注 已移除环境标识符和敏感信息。 修复提交 399a38893e8719968ea2511e177bb53e09973fa6