Cloudreve icon indicating copy to clipboard operation
Cloudreve copied to clipboard
verified publisher icon cloudreve

【BUG】V3 版本 DAV 存在目录越权,alist 挂载后从 alist 删除数据 可能导致 根目录数据被删掉,本人数据已丢失请诸位数据注意备份

Open link2fun opened this issue 11 months ago • 2 comments

Describe the bug V3 版本 DAV 存在目录越权,alist 挂载后从 alist 删除数据 可能导致 根目录数据被删掉,本人数据已丢失请诸位数据注意备份

To Reproduce Steps to reproduce the behavior:

  1. 创建目录
  2. 创建目录对应的 dav 账号
  3. alist挂载 dav 账号
  4. 1panel 创建备份账号挂载 alist 的账号(为什么不直接用 cloudreve 自带的dav? 因为没测通)
  5. 1panel 测试备份数据库到 webdav, 测试失败 405 异常
  6. 查看 alist 发现目录结构异常,遂删除里面的文件和目录
  7. 回去cloudreve 就发现当前账号所有的文件均已被删除且无法恢复

Expected behavior webdav 越权 能删除超过相对目录的文件

Screenshots

Image

Image

Image

Desktop (please complete the following information):

  • OS: [e.g. iOS]
  • Browser [e.g. chrome, safari]
  • Version [e.g. 22]

Smartphone (please complete the following information):

  • Device: [e.g. iPhone6]
  • OS: [e.g. iOS8.1]
  • Browser [e.g. stock browser, safari]
  • Version [e.g. 22]

Additional context Add any other context about the problem here.

link2fun avatar May 09 '25 08:05 link2fun

方便把数据库导出一份发送到[email protected]

HFO4 avatar May 09 '25 11:05 HFO4

方便把数据库导出一份发送到[email protected]

sent

link2fun avatar May 09 '25 11:05 link2fun