taoofagi easegen-admin Pdf2MdUtil.java पहचानना मार्कडाउन पथ पारगमन (path traversal)

यह पथ पारगमन भेद्यता हमलावर को recognizeMarkdown फ़ंक्शन के माध्यम से fileUrl तर्क में हेरफेर करके मनमाने फ़ाइलों को पढ़ने की अनुमति देती है। yudao-module-digitalcourse/yudao-module-digitalcourse-biz/src/main/java/cn/iocoder/yudao/module/digitalcourse/util/Pdf2MdUtil.java फ़ाइल में यह भेद्यता मौजूद है। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए हमलावर आसानी से सिस्टम पर संवेदनशील डेटा तक पहुंच सकते हैं, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस क्रेडेंशियल या अन्य गोपनीय जानकारी। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां easegen-admin का उपयोग महत्वपूर्ण डेटा को संसाधित करने या संग्रहीत करने के लिए किया जाता है। इस भेद्यता का शोषण समान रूप से अन्य वेब अनुप्रयोगों में पथ पारगमन भेद्यताओं के शोषण के समान है, जहां हमलावर निर्देशिकाओं को नेविगेट करने के लिए ../ अनुक्रम का उपयोग करते हैं।

1. आरक्षित2026-03-16
2. प्रकाशित2026-03-16
3. संशोधित2026-03-17
4. EPSS अद्यतन2026-03-24

CVE-2026-4285 के लिए प्राथमिक शमन easegen-admin को नवीनतम संस्करण में अपडेट करना है। चूंकि यह उत्पाद निरंतर डिलीवरी दृष्टिकोण का उपयोग करता है, इसलिए नवीनतम संस्करण की उपलब्धता के लिए आधिकारिक चैनलों की निगरानी करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके fileUrl तर्क के लिए इनपुट सत्यापन लागू किया जा सकता है। यह सुनिश्चित करना चाहिए कि तर्क केवल अपेक्षित फ़ाइल पथों को इंगित करता है और ../ अनुक्रम जैसे पथ पारगमन प्रयासों को रोकता है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करना और केवल आवश्यक उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुंच प्रदान करना भेद्यता के प्रभाव को कम करने में मदद कर सकता है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता को सफलतापूर्वक ठीक कर दिया गया है, recognizeMarkdown फ़ंक्शन के माध्यम से मनमाना फ़ाइल पथों तक पहुंचने का प्रयास करके।