Meshery /api/system/fileDownload 文件读取漏洞

影响产品：Meshery CVSS：6.5 漏洞类型：文件读取 漏洞描述： Meshery 平台 /api/system/fileDownload 接口存在未授权任意文件读取漏洞，该接口未对传入的 file 参数做路径安全校验与权限控制，攻击者可构造 ../ 目录穿越字符，直接读取服务器上 /etc/passwd 等任意系统敏感文件，导致配置信息、密钥、用户凭证等核心数据泄露。 影响： 攻击者可利用该漏洞读取服务器上的任意文件，包括配置文件、密钥文件、源代码等敏感信息，可能导致服务器被进一步攻击。 修复建议： 1、对用户输入的文件路径进行严格验证，禁止包含 ../ 等路径穿越字符。2、使用白名单机制限制可访问的文件范围。3、使用 basename() 等函数处理文件名，确保不会访问预期目录之外的文件。4、升级到最新版本。 FOFA： title="Provider" && title="Meshery"