漏洞概述 DeepCode 1.2.0 版本中存在一个路径遍历漏洞,该漏洞位于 SPA catch-all 路由中,具体在 文件中。攻击者可以通过提供经过百分号编码的路径段来读取任意文件,从而绕过 Starlette 的路径规范化机制。 影响范围 受影响版本:DeepCode <= 1.2.0 具体版本:DeepCode <= c991dc2 未定义版本范围:受影响版本范围尚未明确 修复方案 CVE编号:CVE-2020-32847 CWE编号:CWE-22 路径遍历(Improper Limitation of a Pathname to a Restricted Directory) CVSS评分:8.7 CVSS向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 描述 DeepCode 通过 commit c991dc2 包含了一个路径遍历漏洞,该漏洞允许未经身份验证的攻击者通过提供经过百分号编码的路径段来读取任意文件。攻击者可以绕过 Starlette 的路径规范化机制,通过编码斜杠为 和点为 ,使连接后的路径遍历到 外部,并暴露敏感文件,如 SSH 私钥、TLS 证书和应用密钥,只需一个 HTTP 请求。 POC代码 参考链接 GitHub Issue 贡献者 YU SUN 日期 2026年5月28日 其他信息 VulnCheck 是一个下一代网络威胁情报平台,提供漏洞和漏洞情报,帮助优先处理和修复重要的漏洞。 Vulnerability Prioritization:优先处理重要的漏洞,推迟不重要的漏洞。 Early Warning System:实时警报漏洞变化,以便在攻击开始前采取行动。 页脚信息 VulnCheck 帮助组织通过预测攻击途径来超越对手。 产品:包括漏洞和漏洞情报、初始访问情报、IP 情报、Canary 情报、VulnCheck for Government 等。 社区:包括 VulnCheck KEV、NVD++、VulnCheck Exploit Database (XDB)、Knowledge Base、Report a Vulnerability 等。 合作伙伴:包括 Become a Partner、Register a Deal、Existing Partners 等。 法律:包括 Privacy Policy、Terms & Conditions、Vulnerability Disclosure Policy、Service Terms 等。 资源:包括 Resource Center、Documentation、API、Open Source & Tools、Changelog、Glossary、Contact Support 等。 公司:包括 Blog、News and Awards、Press Releases、Events、THREATCON1 Podcast、VulnCheck Advisories、About VulnCheck、Careers 等。