描述

spring-integration-zip，1.0.1 版本之前的版本，存在一個任意檔案寫入漏洞，可以透過一個特殊構造的 zip 壓縮包（也影響其他壓縮包，如 bzip2, tar, xz, war, cpio, 7z）來實現，該壓縮包包含路徑遍歷的檔名。因此，當檔名被拼接到目標提取目錄時，最終路徑會超出目標資料夾。

這專門適用於解壓轉換器。

這僅在應用程式使用此庫並接受和解壓來自不受信任來源的 zip 檔案時才會發生。

受影響的 Spring 產品和版本

• Spring Integration Zip 社群擴充套件專案版本 1.0.0.RELEASE

緩解措施

受影響版本的使用者應採取以下緩解措施

• 升級至 1.0.1.RELEASE

或不解壓不受信任的 zip 檔案。

致謝

此問題由 Snyk 安全研究團隊識別並負責任地報告。

歷史

2018-05-09：初始漏洞報告發布