CVE-2026-42564jotty·page 是一款用于管理清单和笔记的自托管应用程序。在其 1.22.0 版本之前,该软件存在一个严重的安全漏洞,被归类为未认证的路径遍历漏洞。该漏洞位于 `/api/app-icons/[filename]` API 接口中。由于开发人员未对用户输入的文件名路由参数进行必要的路径验证或边界检查,攻击者能够利用该缺陷读取服务器上位于预期上传目录 `data/uploads/app-icons/` 之外的文件。这意味着攻击者无需任何身份验证即可访问敏感系统文件,导致严重的信息泄露风险。该问题已在 1.22.0 版本中得到修复,建议所有受影响用户尽快升级。
该漏洞的根本原因是服务器端代码直接将用户可控的输入(即 URL 路径中的 `[filename]` 部分)拼接到文件系统路径中,而未进行任何安全过滤或规范化处理。在典型的路径遍历攻击中,攻击者利用特殊的字符序列(如 `../` 或 `..\`)在目录树中向上导航。例如,系统原本意图读取 `/app/data/uploads/app-icons/image.png`,但由于缺乏验证,攻击者可以构造 `/api/app-icons/../../etc/passwd` 的请求。经过拼接后,实际读取的路径会被解析为系统根目录下的敏感文件。这种攻击方式利用了操作系统对路径解析的逻辑。由于 CVSS 向量显示无需用户交互(UI:N)且无需认证(PR:N),攻击者可以通过自动化脚本大规模扫描并利用此漏洞。成功利用此漏洞可能导致高机密性影响(C:H),攻击者可获取数据库凭证、应用程序密钥或读取源代码,为进一步的渗透攻击奠定基础。