您好: 我是360代码卫士团队的工作人员,在我们的开源项目检测中发现arthas中存在路径遍历缺陷。应用程序对用户可控制的输入未经合理校验,就传送给一个文件API,访问一些受保护的文件或目录。com.taobao.arthas.common.IOUtils.java 当entry.getName()含有特殊的字符(如“..”和“/”),程序会摆脱受保护的限制,访问一些受保护的文件或目录。 回复上一条,我不是机器人 ,那条提得不好,我重新提了一条,嘻嘻。
登录 后才可以发表评论