【漏洞对象】Seagate Media Server应用程序 【漏洞描述】 Seagate Personal Cloud是一种消费级网络连接存储设备（NAS）。Personal Cloud与Seagate Media Server应用程序一起部署，允许用户轻松访问他们的电影，音乐和照片。无需身份验证即可访问Seagate Media Server，默认情况下，匿名用户可以将文件上载到的公用文件夹。目前发现Seagate Media Server容易受到路径遍历的影响，允许未经身份验证的攻击者从NAS下载任意文件。由于Seagate Media Server以root权限运行，因此可以利用此问题从NAS检索敏感信息。

1、在下载前对传入的参数进行过滤，直接将..替换成空，就可以简单实现防范的目的。 2、对下载文件类型进行检查，判断是否允许下载类型。 3、升级至最新版本：<a href="https://www.seagate.com/cn/zh/support/downloads/seagate-media/" target="_blank">https://www.seagate.com/cn/zh/support/downloads/seagate-media/</a