漏洞总结:short-video-maker 路径遍历漏洞 漏洞概述 漏洞名称:Path Traversal Vulnerability in short-video-maker #73 漏洞类型:路径遍历 (CWE-22) 漏洞描述:在 项目中,REST API 路由 和 将用户控制的参数与配置的基准目录拼接后直接读取文件。由于未对解析后的路径进行校验,攻击者可以通过构造包含 的 payload 读取服务器主机上临时目录或音乐目录之外的任意文件。 CVSS 评分:3.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N),基础分数 8.2 (High)。 影响范围 受影响版本:1.3-4 受影响组件: 安全影响: 机密性 (Confidentiality):高(任意可读服务器端文件)。 完整性 (Integrity):无(流式传输现有文件,不写入)。 可用性 (Availability):低(大文件读取可能消耗资源)。 修复方案 1. 解析并规范化路径:在读取文件前,必须解析并规范化请求的路径。 2. 边界检查:验证最终路径是否仍在预期的基准目录内。 3. 拒绝非法输入:拒绝包含路径分隔符、绝对路径或路由参数中的遍历片段。 4. 增加测试:添加针对编码和双重编码遍历 payload 的回归测试。 5. 临时缓解:不要将 REST API 暴露给不受信任的用户;在反向代理处阻止编码的遍历序列;仅使用不透明的服务器生成标识符提供文件。 概念验证 (POC) 代码 1. 漏洞代码片段 (src/server/routers/rest.ts) 2. 复现请求 (cURL)