发布日期：2026-02-03
更新日期：2026-05-12

受影响系统：

bolo-blog bolo-solo <= 2.6.4

描述：

---

CVE(CAN) ID: CVE-2026-1812

bolo-solo是bolo-blog开源的一个博客系统。
bolo-solo 2.6.4及之前版本存在路径遍历漏洞，该漏洞源于文件src/main/java/org/b3log/solo/bolo/prop/BackupService.java中的importFromCnblogs函数未对路径进行安全过滤与校验，攻击者可利用该该漏洞构造../等穿越字符，读取、写入操作服务器上任意目录、任意文件，突破程序的文件访问限制。

<**>

建议：

---

厂商补丁：

bolo-blog
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/bolo-blog/bolo-solo/

浏览次数：22
严重程度：0（网友投票）