联邦政府寻求消除软件中的路径遍历漏洞

2025-08-18 19:41:24

软件公司需防范路径遍历漏洞

关键要点

FBI 和网络安全与基础设施安全局CISA呼吁软件公司在产品出货前确保没有路径遍历或目录遍历漏洞。这些漏洞可能被利用进行代码执行和认证绕过。建议采取随机文件标识符生成、单独存储元数据、限制文件名字符以及移除上传文件的可执行权限等措施来减轻这些缺陷的风险。此警报是由于针对目录遍历漏洞的攻击活动而发出，包括 CVE20241708 和 CVE202420345，这些攻击已对美国关键基础设施组织造成影响。

软件公司在向市场交付产品之前，必须确保其产品中不存在路径遍历或目录遍历漏洞。这一呼吁来自 FBI 和网络安全与基础设施安全局CISA，旨在保护用户免受潜在的攻击。根据 BleepingComputer 的报道，这些漏洞一旦被利用，可能会导致代码执行和认证绕过的风险。

CISA 和 FBI 在联合通告中表示，可以通过以下措施来减轻此类缺陷的影响：随机生成文件标识符并单独存储元数据。对文件名中的字符进行限制。移除上传文件的可执行权限。

联邦政府寻求消除软件中的路径遍历漏洞