FUXA 受 Path Traversal Sanitization Bypass 影响

该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞在服务器文件系统中写入任意文件，从而完全控制服务器。攻击者可以覆盖关键配置文件、植入恶意脚本，甚至执行任意代码。由于该漏洞需要管理员权限，因此攻击者需要先获得对 fuxa-server 的管理访问权限。然而，一旦获得权限，攻击者就可以利用此漏洞进行广泛的破坏活动，包括数据泄露、服务中断和系统完全控制。此漏洞与某些其他文件写入漏洞类似，可能导致与 Log4Shell 类似的严重后果。

Organizations relying on fuxa-server for critical services are at risk, particularly those with administrative interfaces exposed to the internet. Environments with legacy configurations or shared hosting setups where user privileges are not strictly controlled are especially vulnerable. Any deployment using older, unpatched versions of fuxa-server is potentially exposed.

• nodejs / server:

journalctl -u fuxa-server -f | grep -i "path traversal"

• nodejs / server:

ps aux | grep fuxa-server | grep -i "....//"

• generic web: Use curl to test for path traversal:

curl 'http://your-fuxa-server/path/....//sensitive_file.txt' 

• generic web: Grep access logs for requests containing suspicious path traversal sequences (e.g., '....//').

1. 2026-02-10Disclosure

   disclosure

1. 已保留2026-02-09
2. 发布日期2026-02-10
3. 修改日期2026-02-22
4. EPSS 更新日期2026-03-23

修复此漏洞的首要措施是立即升级至 fuxa-server 1.2.11 或更高版本。如果无法立即升级，可以考虑以下缓解措施：首先，限制对 fuxa-server 的管理员访问权限，仅允许必要的用户访问。其次，实施严格的文件访问控制，确保用户只能访问其需要访问的文件。第三，使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求，阻止攻击者利用路径遍历漏洞。第四，监控 fuxa-server 的日志文件，查找可疑活动。升级后，验证修复是否有效，例如通过尝试使用恶意路径访问敏感文件，确认访问被拒绝。