从 国产飞牛系统 fnOS 疑似出现重大安全漏洞 继续讨论: 
目前已知存在如下严重 0 day 或 N day 漏洞: 


任意路径访问 
PoC: /app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../ 
这个洞有测试称最早可以溯源到 fnOS 0.9.X 版本, 有称已经在 1.1.15 版本修复. 
路径穿越的这个洞的上游漏洞可能为 Resolve PRISMA-2022-0393 and PRISMA-2022-0394 · Issue #4443 · gin-gonic/gin · GitHub (飞牛 trim_app_center 使用了 Gin 框架, v1.10.1 版本), 也是 Gin 框架的一个陈年老洞了. 
截至 1.1.8 还有一个更离谱的洞, 不清楚是否已经修复, 感兴趣的可以自行测试...