https://blog.qife122.com/tags/windows%E8%AE%BE%E5%A4%87%E5%90%8D/ Recent content in Windows设备名 on 办公AI智能小助手 Hugo zh-cn qife Tue, 23 Sep 2025 11:31:46 +0800 https://blog.qife122.com/p/windows%E8%AE%BE%E5%A4%87%E5%90%8D%E7%A7%B0%E7%BB%95%E8%BF%87path.normalize%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E4%BF%9D%E6%8A%A4%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Tue, 23 Sep 2025 11:31:46 +0800 https://blog.qife122.com/p/windows%E8%AE%BE%E5%A4%87%E5%90%8D%E7%A7%B0%E7%BB%95%E8%BF%87path.normalize%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E4%BF%9D%E6%8A%A4%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="windows设备名称conprnaux绕过pathnormalize路径遍历保护">Windows设备名称（CON、PRN、AUX）绕过path.normalize()路径遍历保护</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>在Node.js中发现CVE-2025-23084的不完全修复漏洞，该漏洞特别影响Windows设备名称（如CON、PRN、AUX）的处理。此安全漏洞影响使用path.join API的Windows用户。</p> https://blog.qife122.com/p/windows-unc%E8%B7%AF%E5%BE%84%E4%B8%AD%E8%AE%BE%E5%A4%87%E5%90%8D%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E7%BB%95%E8%BF%87cve-2025-27210%E4%BF%AE%E5%A4%8D/ Fri, 19 Sep 2025 10:13:59 +0800 https://blog.qife122.com/p/windows-unc%E8%B7%AF%E5%BE%84%E4%B8%AD%E8%AE%BE%E5%A4%87%E5%90%8D%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E7%BB%95%E8%BF%87cve-2025-27210%E4%BF%AE%E5%A4%8D/ <h1 id="windows设备名在unc路径中仍允许路径遍历cve-2025-27210修复后">Windows设备名在UNC路径中仍允许路径遍历（CVE-2025-27210修复后）</h1> <h2 id="摘要">摘要</h2> <p>我发现Windows设备名（CON、PRN、AUX等）在处理UNC网络路径时仍可用于路径遍历攻击，即使在CVE-2025-27210补丁之后。基本上，该修复仅覆盖了常规路径，但遗漏了使用<code>path.join()</code>时的UNC路径场景。</p> https://blog.qife122.com/p/windows%E8%AE%BE%E5%A4%87%E5%90%8D%E7%BB%95%E8%BF%87%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E9%98%B2%E6%8A%A4%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90node.js-path.normalize%E7%9A%84%E5%AE%89%E5%85%A8%E9%9A%90%E6%82%A3/ Fri, 19 Sep 2025 07:59:18 +0800 https://blog.qife122.com/p/windows%E8%AE%BE%E5%A4%87%E5%90%8D%E7%BB%95%E8%BF%87%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E9%98%B2%E6%8A%A4%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90node.js-path.normalize%E7%9A%84%E5%AE%89%E5%85%A8%E9%9A%90%E6%82%A3/ <h1 id="windows设备名conprnaux绕过pathnormalize路径遍历防护">Windows设备名（CON、PRN、AUX）绕过path.normalize()路径遍历防护</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>Node.js中存在一个针对CVE-2025-23084的不完整修复，该漏洞特别影响Windows设备名称（如CON、PRN、AUX）。此安全漏洞影响使用path.join API的Windows用户。</p> https://blog.qife122.com/p/windows-unc%E8%B7%AF%E5%BE%84%E4%B8%AD%E8%AE%BE%E5%A4%87%E5%90%8D%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E7%BB%95%E8%BF%87cve-2025-27210%E4%BF%AE%E5%A4%8D/ Wed, 17 Sep 2025 10:48:28 +0800 https://blog.qife122.com/p/windows-unc%E8%B7%AF%E5%BE%84%E4%B8%AD%E8%AE%BE%E5%A4%87%E5%90%8D%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E7%BB%95%E8%BF%87cve-2025-27210%E4%BF%AE%E5%A4%8D/ <h1 id="windows设备名在unc路径中仍允许路径遍历绕过cve-2025-27210修复">Windows设备名在UNC路径中仍允许路径遍历绕过CVE-2025-27210修复</h1> <h2 id="摘要">摘要</h2> <p>我发现Windows设备名（CON、PRN、AUX等）在处理UNC网络路径时仍可用于路径遍历攻击，即使在应用了CVE-2025-27210补丁后也是如此。基本上，该修复仅覆盖了常规路径，但遗漏了使用<code>path.join()</code>时的UNC路径场景。</p> https://blog.qife122.com/p/windows%E8%AE%BE%E5%A4%87%E5%90%8D%E7%A7%B0%E7%BB%95%E8%BF%87path.normalize%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E4%BF%9D%E6%8A%A4%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Mon, 08 Sep 2025 21:14:42 +0800 https://blog.qife122.com/p/windows%E8%AE%BE%E5%A4%87%E5%90%8D%E7%A7%B0%E7%BB%95%E8%BF%87path.normalize%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E4%BF%9D%E6%8A%A4%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="windows设备名称con-prn-aux绕过pathnormalize路径遍历保护">Windows设备名称(CON, PRN, AUX)绕过path.normalize()路径遍历保护</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>在Node.js中发现CVE-2025-23084的不完整修复，该漏洞特别影响Windows设备名称如CON、PRN和AUX。此漏洞影响使用path.join API的Windows用户。</p>