Magic Wormhole 路径遍历漏洞CVE-2026-32116

Magic Wormhole 是一款开源、跨平台、端到端加密的命令行工具，其基于 Python 开发，主打极简、安全、P2P 优先的临时数据传输。

一、基本情况

Magic Wormhole 是 magic-wormhole 开源的一个安全的跨计算机文件传输工具，最小信任，不依赖第三方存储，数据不落地在服务器。

Magic Wormhole 核心是用简短易读的一次性虫洞代码，在两台设备间安全传输文件、目录或文本，无需公网 IP、端口映射或复杂配置。

栋科技漏洞库关注到 Magic Wormhole 0.21.0至0.23.0之前版本存在路径遍历漏洞，追踪为CVE-2026-32116，漏洞的CVSS 4.0评分8.2。

二、漏洞分析

CVE-2026-32116是 Magic Wormhole 中的路径遍历漏洞，源于接收恶意文件可能导致覆盖关键本地文件，可能用于危害接收者计算机。

该漏洞导致接收恶意方发送的文件（wormhole receive）可能导致本地关键文件被覆盖，包括～/.ssh/authorized_keys 和.bashrc 文件。

需要明确，只有运行 wormhole send 命令的文件发送方能够发起此类攻击，蠕虫洞协议会排除其他参与方，包括传输中继服务器在内。

三、影响范围

Magic Wormhole <= 0.21.0

Magic Wormhole <= 0.21.1

Magic Wormhole <= 0.22.0

四、修复建议

Magic Wormhole >= 0.23.0

五、参考链接

管理员已设置登录后刷新可查看