CVE-2020-24855: easywebpack-cli目录穿越漏洞 · Issue #25 · easy-team/easywebpack-cli

你好~ 我发现了easywebpack-cli的一个安全问题，在使用easywebpack-cli并使用-d参数指定了生效目录后，使用"…/…/"会造成目录穿越问题，能够查看主机中的文件（如数据库连接文件等）。
复现方法：
1、执行 npm i -g easywebpack-cli
2、执行 easy server -d mock -p 8009，-d 指向任意一个目录
3、使用postman或其他工具发包，即可查看文件

我并没有查看您的代码来定位问题位置，因此我也不太确定是否是easywebpack-cli引入easywebpack的问题，请见谅。
希望您能够确认问题或及时回复哦~ 多谢

Easywebpack-cli directory traversal vulnerability

Hello~ I found a security problem with easywebpack-cli. After using easywebpack-cli and using the -d parameter to specify the effective directory, using “…/…/” will cause directory traversal problems. You can view the host Files (such as database connection files, etc.).
Reproduction method:

1.npm i -g easywebpack-cli
2.easy server -d mock -p 8009, -d points to any directory
3.Use postman or other tools to send the request to view the file
（See above for related pictures)