关键信息摘要 漏洞名称 任意目录删除通过命令行参数 严重性 严重等级: 高 CVSS v3 基本评分: 7.1 / 10 影响的版本与修复版本 受影响版本: < Beta 0.9.26020 修复版本: Beta 0.9.26021 漏洞概述 问题: 未经验证的命令行参数允许任何用户触发Windows文件系统中任意目录的递归删除。 成因: ADB Explorer接受一个可选的路径参数来设置自定义数据目录,但仅检查路径是否存在,未验证路径是否位于预期的应用程序目录内。 风险: 攻击者可通过精心设计的快捷方式(.lnk)或批处理脚本,以敏感目录(例如,C:\Users\%USERNAME%\Documents)作为参数运行ADB Explorer,从而永久删除所有子目录。 细节 漏洞位于 文件。 第一个命令行参数被分配给 ,仅有 检查,缺乏路径在期望的程序目录内的验证。 方法递归删除 的所有子目录,无论是在应用程序启动还是退出时。 PoC (概念验证) 创建Windows快捷方式或批处理文件,指向受害者的敏感文件夹。 当受害者启动应用程序时,递归删除指定目录的所有内容。 影响 用户启动ADB Explorer时,经由精心构造的快捷方式、批处理文件或脚本,将永久失去目标目录的内容(绕过回收站,无法恢复)。 此技术也可能影响其他现有目录,包括整份用户配置文件或者导致系统不稳定/无法启动,如果以提升权限运行时删除关键系统目录如 或 。 CVE ID CVE-2026-27115