ZMCPTools 路径遍历与任意本地文件读取漏洞总结 漏洞概述 漏洞名称:路径遍历与任意本地文件读取漏洞 (Path Traversal and Arbitrary Local File Read Vulnerability) 漏洞编号:ZMCPTools #23 漏洞类型:CWE-22 (Improper Limitation of a Pathname to a Restricted Directory) 受影响组件: 和 漏洞描述:在 ZMCPTools 版本 0.2.2 中,MCP 日志资源处理代码存在路径遍历漏洞。攻击者可以通过构造包含 序列的 URI,绕过日志目录限制,读取服务器进程可访问的任意本地文件(如 )。 影响范围 受影响版本:0.2.2 安全影响: 机密性:高(任意本地文件可读) 完整性:无 可用性:低(可能导致资源消耗或错误) CVSS 评分:7.5 (High) 修复方案 1. 规范化路径:在访问文件系统前,将最终路径规范化并解析为固定基准目录,确保其仍在 下。 2. 逻辑标识符:将 和 视为逻辑标识符而非原始路径片段,仅允许预期的日志目录和文件名模式。 3. 输入验证:避免将用户提供的路径段直接传入 而不进行验证。 4. 回归测试:添加针对遍历载荷(如 )的回归测试。 概念验证 (POC) 代码 1. 环境构建与启动 2. 利用代码 (Node.js) 3. 终端输出验证**