发布日期：2025-02-06
更新日期：2025-06-05

受影响系统：

GoldPanKit Eva4 4.1.0

描述：

---

CVE(CAN) ID: CVE-2024-54909

Eva4是GoldPanKit开源的一套基于SpringBoot 2.x、Shiro、MyBatis Plus和knife4j等技术的权限管理基础工程，可与任意eva系前端结合使用来完成权限系统的研发。
Eva4 4.1.0版本存在路径遍历漏洞，它影响/api/resource/local/download端点的路径参数，通过篡改该参数可能会导致任意文件下载。

<**>

建议：

---

厂商补丁：

GoldPanKit
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/goldpankit/eva-springboot2/issues/2

浏览次数：51
严重程度：0（网友投票）