Solon框架中Faas路径遍历问题分析与改进

问题背景

在Solon框架的solon-faas-luffy组件中，发现了一个路径遍历问题。该问题存在于org.noear.solon.luffy.impl.JtFunctionLoaderFile类的文件处理逻辑中，用户可以通过构造特殊的路径字符串（如../）加载并执行服务器特定目录下的JavaScript文件，可能导致系统安全风险。

问题原理分析

问题的核心在于JtFunctionLoaderFile类中的两个关键方法：

1. fileGet方法：负责获取指定路径的文件内容
2. fileBuildDo方法：负责构建并执行JavaScript文件

这两个方法在处理用户提供的路径参数时，没有对路径中的..进行有效过滤和校验，导致用户可以通过构造../../../../这样的相对路径访问系统上的特定文件。

问题验证

要验证此问题，需要以下环境配置：

1. 创建一个简单的Solon应用，启用LuffyHandler并配置JtFunctionLoaderFile
2. 在系统临时目录(/tmp/)下放置测试JavaScript文件(test.js)
3. 通过构造特殊路径的HTTP请求触发问题

测试JavaScript文件示例(test.js)：

var a=java.lang.Runtime.getRuntime().exec("open -a calculator");

用户只需发送如下HTTP请求即可触发问题：

GET /../../../../../../../../../tmp/test.js HTTP/1.1
Host: test-server

成功验证后，用户可以在服务器上执行特定系统命令，如示例中展示的打开计算器应用。

问题影响

该问题的影响范围包括：

1. 所有使用solon-faas-luffy组件且版本低于改进版本的Solon应用
2. 用户可利用此问题读取服务器上的特定文件
3. 更严重的是可以执行特定JavaScript代码，进而实现系统操作

改进方案

开发团队在dev分支中已经提交了改进代码，主要改进措施包括：

1. 在路径处理逻辑中添加对..的检测
2. 规范化路径处理流程，防止路径遍历问题

改进后的版本(v3.2.0)已经发布，建议所有用户尽快升级到新版本。

安全建议

针对此类问题，建议开发者：

1. 始终对用户提供的路径参数进行严格校验
2. 实现路径规范化处理，解析并消除所有..和.引用
3. 限制文件访问范围，使用chroot或类似机制
4. 遵循最小权限原则，应用程序应以最低必要权限运行

对于Solon框架用户，应立即检查是否使用了受影响版本的solon-faas-luffy组件，并及时升级到v3.2.0或更高版本。