一、 漏洞 CVE-2018-1002209 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在0.7.6之前版本的QuaZIP具有目录遍历漏洞,允许攻击者通过在 extraction 过程中误处理的../(点点分)来写入任意文件。这个漏洞也被称为“Zip-Slip”。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
QuaZIP before 0.7.6 is vulnerable to directory traversal, allowing attackers to write to arbitrary files via a ../ (dot dot slash) in a Zip archive entry that is mishandled during extraction. This vulnerability is also known as 'Zip-Slip'.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
QuaZIP 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
QuaZIP是一款用于访问ZIP存档的C++包装器。 QuaZIP 0.7.6之前版本中存在目录遍历漏洞。攻击者可借助带有目录遍历名称的特制的zip归档文件利用该漏洞写入任意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-1002209 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2018-1002209 的情报信息
-
- https://github.com/snyk/zip-slip-vulnerability x_refsource_MISC
- https://github.com/stachenov/quazip/blob/0.7.6/NEWS.txt x_refsource_CONFIRM
- https://github.com/stachenov/quazip/commit/5d2fc16a1976e5bf78d2927b012f67a2ae047a98 x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2018-1002209