CVE-2026-45230DumbAssets 1.0.11及之前版本存在严重的路径遍历漏洞。由于默认禁用认证,未经身份验证的攻击者可利用POST /api/delete-file接口中的filesToDelete参数,通过构造包含../序列的恶意请求绕过目录限制。该漏洞允许攻击者删除应用程序目录之外的任意文件,例如server.js或package.json,从而导致系统完全拒绝服务。
该漏洞的根源在于DumbAssets在处理文件删除请求时,未能对用户输入的文件路径进行严格的规范化校验和边界检查。具体而言,应用程序的POST /api/delete-file接口接收filesToDelete数组参数,并在未经过滤的情况下直接将其用于拼接文件路径。这种不安全的处理方式允许攻击者通过插入路径遍历字符(如../)来打破预期的目录限制,访问父级目录甚至系统根目录。
在利用方面,攻击者只需向目标服务器发送特制的HTTP POST请求。由于该应用的认证机制是可选的且默认处于关闭状态,攻击者无需任何凭证即可发起攻击。攻击者在filesToDelete参数中填入包含../的恶意字符串(例如../../server.js或../../../etc/passwd)。一旦服务器端处理了该请求,便会执行删除操作。如果攻击者删除了核心运行文件(如Node.js的server.js)或配置文件(如package.json),将直接导致应用程序崩溃或无法重启,造成严重的拒绝服务(DoS)后果。