Skip to content

shiroi_admin_v1.4

Latest

Choose a tag to compare

@hcr707305003 hcr707305003 released this 31 May 02:59
3ecde28

安全修复

修复了文件上传接口中的未认证文件上传漏洞。

影响

攻击者可提供未在配置中定义的 file_type 值,从而在某些条件下绕过上传校验规则。

这可能导致上传文件不受限制,并且在上传文件可被服务器执行的环境中,可能造成远程代码执行(RCE)。

修复措施

  • 移除了客户端对 file_type 参数的控制;
  • 增加了服务端的文件类型验证;
  • 添加了危险文件扩展名过滤;
  • 改进了上传安全校验逻辑。

致谢

感谢安全研究人员发现并负责任地披露该问题,帮助提升项目的安全性。