CVE-2026-44373Nitro 是一款下一代服务器工具包。在 3.0.260429-beta 版本之前,该产品存在路径遍历漏洞。攻击者可以通过在 URL 中发送百分比编码的路径遍历字符(如 ..%2f),成功绕过代理路由规则。这将导致 Nitro 将请求转发至上游服务器配置范围之外的位置,从而可能引发未授权的信息泄露。
该漏洞原理在于 Nitro 框架在处理代理请求转发时的路径校验逻辑存在缺陷。正常情况下,应用程序会阻止包含 '../' 的路径遍历请求以防止访问受限目录。然而,Nitro 在解析 URL 时未能对经过百分号编码的路径(例如 ..%2f)进行充分的安全解码和规范化。攻击者可以利用这一点,构造包含 ..%2f 的恶意 URL。当请求到达服务器时,虽然初步检查可能绕过了针对明文 '../' 的拦截,但在后续处理或转发给上游服务器的过程中,该编码被解码为实际的目录跳转指令。这导致攻击者能够绕过预设的代理路由规则,访问原本被限制在代理范围之外的内部端点或文件,造成信息泄露或未授权访问。