漏洞概述 这是一个本地文件包含/路径遍历漏洞,存在于 项目的媒体加载功能中。攻击者可以通过构造恶意的 URL 绕过安全检查,读取远程主机文件或 Windows 网络共享路径上的敏感文件。 影响范围 受影响功能: 本地媒体文件加载( 及相关函数) 漏洞类型: - 远程主机文件 URL 绕过( ) - Windows 网络路径绕过( ) 平台: 主要影响 Windows 系统(网络路径),但远程主机 URL 绕过影响所有平台 修复方案 核心修复措施 1. 新增 函数 - 严格校验 URL: - 禁止远程主机(只允许 或空主机名) - 禁止 Windows 网络路径( 或 开头) 2. 新增 函数 - 检测 Windows UNC 路径: 3. 新增 函数 - 主动阻断网络路径 4. 错误码扩展 - 新增 明确标识此类攻击 关键代码变更 修复前(漏洞代码): 修复后(安全代码): 新增安全工具函数( ) POC/测试用例(修复验证) 远程主机 URL 测试: Windows 网络路径测试: