java - 如何修复 MavenWrapperDownloader.java 中的绝对路径遍历

翻译自：https://stackoverflow.com/questions/67194145 2021-04-21T10:37:13.450

224 次

安全扫描后，我在文件中收到错误绝对路径遍历：

https://github.com/takari/maven-wrapper/blob/master/.mvn/wrapper/MavenWrapperDownloader.java

第 50 行：文件 baseDirectory = new File(args[0]);

MavenWrapperDownloader.java 实际上属于 apache ...是否有新版本的文件，我不会从中得到错误？

我发现的一个选项（https://portswigger.net/web-security/file-path-traversal）是使用

File file = new File(BASE_DIRECTORY, userInput);
if (file.getCanonicalPath().startsWith(BASE_DIRECTORY)) {
    // process file
}

但在 java 类中，他们已经在检查：

File mavenWrapperPropertyFile = new File(baseDirectory, MAVEN_WRAPPER_PROPERTIES_PATH);
        String url = DEFAULT_DOWNLOAD_URL;
        if(mavenWrapperPropertyFile.exists()) {
...

有什么建议么？

java - 如何修复 MavenWrapperDownloader.java 中的绝对路径遍历

0 回答 0

Related

Reference