漏洞总结:xiaozi-mcphub 路径遍历漏洞 漏洞概述 漏洞名称:xiaozi-mcphub 路径遍历漏洞 (Path Traversal Vulnerability) CVE ID:CVE-22 (CWE-22) 漏洞类型:路径遍历 (Path Traversal) 受影响组件: 漏洞描述:经过身份验证的 DXT 上传处理程序提取上传的 档案,读取 ,并使用不受信任的 值来构建最终提取目录。由于 在路径解析后未进行清理或检查,攻击者可以上传精心制作的 DXT 文件,将提取的文件移动到预期的上传目录之外。 影响范围 受影响版本:1.0.3 安全影响: 机密性:低(主要涉及写/提取路径控制)。 完整性:高(攻击者可以在预期上传目录之外放置或覆盖文件)。 可用性:高(攻击者控制的写入可能会破坏应用程序数据或运行时文件)。 CVSS 评分:9.0 (Critical) 修复方案 1. 清理输入:在使用 构建路径之前,将其清理为安全标识符。 2. 验证路径:解析 并验证其是否仍在预期的上传目录内。 3. 拒绝非法路径:拒绝绝对路径、路径分隔符和遍历段。 4. 回归测试:添加针对 、编码遍历和平台特定分隔符的回归测试。 5. 临时缓解:禁用对非受信任用户的 DXT 上传;将上传路由限制为受信任的管理员;限制服务文件系统的权限。 POC 代码 1. 复现档案 manifest 内容 2. 复现请求 (curl) 3. 验证 确认响应中的 指向预期 子目录之外。 确认来自上传档案的文件出现在攻击者影响的目录中。