io.jmix.localfs:jmix-localfs在本地文件存储中具有路径遍历(CVE-2025-32950)
CVE编号
CVE-2025-32950
利用情况
暂无
补丁情况
N/A
披露时间
2025-04-23
漏洞描述
Jmix是一套用于加速Spring Boot数据为中心的应用开发的库和工具集。在版本1.0.0至1.6.1和版本2.0.0至2.3.4中,攻击者可以通过操纵FileRef参数访问Jmix应用程序部署的系统上的文件,前提是应用程序服务器具有必要的权限。这可以通过直接在数据库中修改FileRef或通过向通用REST API的/files端点的fileRef参数提供有害值来实现。这个问题已在版本1.6.2和版本2.4.0中得到修复。在Jmix文档网站上提供了一个解决方案。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论