CVE-2026-38360fohrloop dash-uploader v0.1.0至v0.7.0a2版本存在严重的目录遍历漏洞。该漏洞源于`dash_uploader/httprequesthandler.py`组件中`get_temp_root()`和`_post()`函数未能正确验证用户上传请求的路径。未经身份验证的远程攻击者可利用此漏洞绕过限制,遍历服务器目录并写入恶意文件,最终在目标系统上执行任意代码,严重威胁系统安全。
该漏洞的核心在于文件上传处理逻辑中缺乏对路径回退符(如`../`)的有效过滤。在`BaseHttpRequestHandler._post()`方法处理上传请求时,程序调用`get_temp_root()`获取临时目录路径,但未对文件名参数进行严格的规范化处理或边界检查。攻击者可以通过在HTTP POST请求中注入路径遍历序列(例如`../../var/www/html/`),将上传的文件重定向并写入Web根目录或其他系统关键目录。由于该组件无需身份认证(PR:N)且无需用户交互(UI:N),攻击者可直接发送特制数据包发起攻击。一旦恶意脚本文件(如Webshell或可执行文件)被成功上传至服务器可执行路径,攻击者即可通过远程访问该文件,从而在服务器端执行任意系统命令,导致服务器被完全控制。