BioinfoMCP 任意文件写入漏洞总结 漏洞概述 漏洞名称:BioinfoMCP Arbitrary File Write via POST /upload #2 漏洞类型:任意文件写入 (CWE-73: External Control of File Name or Path) 漏洞成因:Web 端点 在处理上传文件时,直接使用了用户控制的 字段。攻击者可以通过构造绝对路径(如 )覆盖 的拼接逻辑,从而将文件写入服务器上的任意位置。 影响组件: 影响范围 受影响版本:包含相同 文件保存逻辑的修订版本(Confirmed affected: )。 安全影响: 完整性 (High):攻击者可以在预期上传目录之外创建或覆盖任意可写文件。 可用性 (Medium):恶意上传可能破坏操作文件或毒化后续的转换运行。 机密性 (Low):此原语为写入而非直接读取。 修复方案 1. 替换文件名处理:使用 或等效的白名单机制替换对 的直接使用。 2. 生成随机文件名:生成服务器端随机文件名,仅将原始文件名作为元数据保留。 3. 增加回归测试**:针对上传中的绝对文件名和遍历载荷添加回归测试。 概念验证 (POC)