描述

spring-integration-zip，1.0.2 版本之前的版本，暴露了一個任意檔案寫入漏洞，該漏洞可以透過使用特製的 zip 存檔（也影響其他存檔，如 bzip2、tar、xz、war、cpio、7z）來實現，其中包含路徑遍歷檔名。因此，當檔名與目標提取目錄連線時，最終路徑會超出目標資料夾。先前的 CVE-2018-1261 阻止了框架本身寫入檔案。雖然框架本身現在不會寫入此類檔案，但它會將錯誤的路徑呈現給使用者應用程式，使用者應用程式可能會無意中利用該路徑寫入檔案。

這專門適用於解壓轉換器。

這僅在應用程式使用此庫並接受和解壓來自不受信任來源的 zip 檔案時才會發生。

受影響的 Spring 產品和版本

• Spring Integration Zip Community Extension Project 1.0.1.RELEASE 及更早版本。

緩解措施

受影響版本的使用者應採取以下緩解措施

• 升級至 1.0.2.RELEASE

或不解壓不受信任的 zip 檔案。

致謝

此問題由 Snyk 安全研究團隊和 Abago Forgans 識別並負責任地報告。

歷史

2018-05-11：首次釋出漏洞報告