发布日期：2026-02-03
更新日期：2026-05-12

受影响系统：

bolo-blog bolo-solo <= 2.6.4

描述：

---

CVE(CAN) ID: CVE-2026-1810

bolo-solo是bolo-blog开源的一个博客系统。
bolo-solo 2.6.4及之前版本存在路径遍历漏洞，该漏洞源于文件src/main/java/org/b3log/solo/bolo/prop/BackupService.java中的unpackFilteredZip函数在解压用户上传的ZIP文件时，未对压缩包内的文件名做路径安全校验，攻击者可利用该漏洞构造包含../穿越路径的恶意ZIP文件，在解压时将文件写入服务器任意目录，突破程序的文件访问限制。

<**>

建议：

---

厂商补丁：

bolo-blog
---------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/bolo-blog/bolo-solo/

浏览次数：24
严重程度：0（网友投票）