Sleuth Kit tsk_recover 路径遍历漏洞

攻击者可以利用此漏洞创建恶意的文件系统镜像，其中包含嵌入在文件名中的 /../ 序列。当 tsk_recover 处理这些恶意镜像时，它会将文件写入输出目录之外，从而可能覆盖 shell 配置文件或 cron 条目，最终导致代码执行。这种攻击模式类似于其他文件系统相关的漏洞，可能导致系统被完全控制。攻击者可以利用此漏洞获取敏感信息、安装恶意软件或进行其他恶意活动，对系统安全造成严重威胁。

Digital forensics investigators and security analysts who utilize The Sleuth Kit for analyzing filesystem images are at risk. Specifically, those using older, unpatched versions of the tool in automated workflows or environments with limited access controls are particularly vulnerable. Shared hosting environments where multiple users have access to filesystem images are also at increased risk.

• linux / server:

journalctl -g "tsk_recover" -u the-sleuth-kit | grep -i "path traversal"

• linux / server:

lsof | grep /path/to/recovery/directory/../

• linux / server:

find / -name '*..*' -print 2>/dev/null

1. 2026-04-08Disclosure

   disclosure

1. 已保留2026-04-08
2. 发布日期2026-04-08
3. 修改日期2026-04-09
4. EPSS 更新日期2026-04-16

为了缓解此漏洞，建议立即升级到 The Sleuth Kit 4.15.0 或更高版本。如果无法立即升级，可以考虑使用文件系统权限控制，限制 tsk_recover 进程对文件系统的写入权限，仅允许其写入预期恢复目录。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，过滤包含路径遍历序列的文件名或目录路径的请求。在升级后，请验证修复是否成功，例如通过尝试使用包含 /../ 序列的文件名进行恢复操作，确认文件是否被写入到预期目录。