关键漏洞信息 标题 漏洞名称:fastapiadmin <= 2.2.0 Unrestricted Upload 描述 问题: - 任意文件上传漏洞 - 位于路径 - 已认证用户可利用 权限,向服务器文件系统写入任意文件 - 结合定时任务API实现远程代码执行 - 上传文件处理存在缺陷: - 信任Content-Type头部判断文件类型 - 不合法文件路径未验证或标准化 - 直接在上传目录写文件,允许攻击绕过扩展名检查 示例: - 敌手上传伪装成SVG的Python脚本,成功上传并触发执行 缓解措施: - 服务器端内容检查(如验证“魔术字节”) - 内容而非头部验证文件类型 - 标准化和限制保存路径以安全上传 - 动态文件名减少风险 - 严格允许上传类型 - 危险内容扫描 - 最小化权限 - 上传与任务API的审计日志 来源 信息来源: GitHub 用户与时间 提交用户: 匿名用户 提交时间: 2022-02-11 09:57 AM 调校时间: 2022-02-22 04:09 PM 状态与评分 状态: 接受 漏洞库条目: 347361 评分为: 20分