https://blog.qife122.com/tags/cve-2021-3281/ Recent content in CVE-2021-3281 on 办公AI智能小助手 Hugo zh-cn qife Sat, 03 Jan 2026 08:27:38 +0800 https://blog.qife122.com/p/django%E5%BD%92%E6%A1%A3%E8%A7%A3%E5%8E%8B%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2021-3281%E8%A1%A5%E4%B8%81%E4%B8%8D%E5%AE%8C%E5%85%A8%E7%9A%84%E8%AD%A6%E7%A4%BA/ Sat, 03 Jan 2026 08:27:38 +0800 https://blog.qife122.com/p/django%E5%BD%92%E6%A1%A3%E8%A7%A3%E5%8E%8B%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2021-3281%E8%A1%A5%E4%B8%81%E4%B8%8D%E5%AE%8C%E5%85%A8%E7%9A%84%E8%AD%A6%E7%A4%BA/ <h3 id="报告详情">报告详情</h3> <p><strong>报告 ID</strong>: #3328367 <strong>标题</strong>: Path traversal via archive.extract - CVE 2021-3281 incomplete patch <strong>报告状态</strong>: 已披露 <strong>报告提交者</strong>: stackered <strong>报告对象</strong>: Django <strong>提交时间</strong>: 2025年9月5日，UTC时间13:21 <strong>漏洞弱点</strong>: 路径遍历 <strong>关联CVE ID</strong>: CVE-2021-3281 <strong>严重等级</strong>: 低 (3.7) <strong>披露时间</strong>: 2025年11月21日，UTC时间19:05</p> https://blog.qife122.com/p/django%E5%BD%92%E6%A1%A3%E8%A7%A3%E5%8E%8B%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9Ecve-2021-3281%E8%A1%A5%E4%B8%81%E4%B8%8D%E5%AE%8C%E6%95%B4%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D/ Thu, 04 Dec 2025 16:22:40 +0800 https://blog.qife122.com/p/django%E5%BD%92%E6%A1%A3%E8%A7%A3%E5%8E%8B%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9Ecve-2021-3281%E8%A1%A5%E4%B8%81%E4%B8%8D%E5%AE%8C%E6%95%B4%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D/ <h1 id="路径遍历-via-archiveextract---cve-2021-3281-不完整补丁">路径遍历 via archive.extract - CVE 2021-3281 不完整补丁</h1> <p><strong>提交者:</strong> stackered <strong>提交至:</strong> Django <strong>时间:</strong> 2025年9月5日，下午1:21 (UTC)</p> <p>大家好，</p> <p>在对之前漏洞补丁进行代码审查时，我发现针对 CVE-2021-3281 的修复并不完整。作为提醒，为了缓解该漏洞，已在 <code>ZipArchive</code> 和 <code>TarArchive</code> 类的 <code>extract</code> 函数中添加了以下防护逻辑，以确保所有文件都在基础文件夹（<code>target_path</code>）下解压。</p>