漏洞关键信息总结 1. 漏洞概述 漏洞名称: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') in gosh PUT Upload 漏洞类型: 路径遍历 (Path Traversal) / 未认证任意文件写入 描述: 在 项目的 上传功能中存在路径遍历漏洞。默认配置下,该功能未对上传路径进行清理(sanitization),且无需任何标志或认证。攻击者可以通过构造包含 的路径,将文件写入到服务器文件系统的任意位置。 CVSS评分: 9.8 / 10 (Critical) 2. 影响范围 受影响版本: <= 修复版本: 3. 修复方案 升级: 将 升级到 或更高版本。 建议: 检查目标文件是否属于 webroot 目录,以防止此类攻击。此外,确保在每个错误响应后调用 方法。 4. POC 代码 (利用脚本)