漏洞标题
N/A
漏洞描述信息
Spring-integration-zip版本在1.0.1之前暴露了一个任意文件写入漏洞,可以通过使用一个精心制作的zip archive(影响其他 archive,如 bzip2、tar、xz、war、cpio、7z)来实施。当将文件名与目标提取目录拼接在一起时,最终的路径会超出目标文件夹。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Spring-integration-zip versions prior to 1.0.1 exposes an arbitrary file write vulnerability, which can be achieved using a specially crafted zip archive (affects other archives as well, bzip2, tar, xz, war, cpio, 7z) that holds path traversal filenames. So when the filename gets concatenated to the target extraction directory, the final path ends up outside of the target folder.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Pivotal Spring-integration-zip 安全漏洞
漏洞描述信息
Pivotal Spring-integration-zip是美国Pivotal Software公司的一款使用在Spring中的压缩/解压缩组件。 Pivotal Spring-integration-zip 1.0.1之前版本中存在任意文件写入漏洞。攻击者可借助特制的zip(还包括bzip2、tar、xz、war、cpio和7z)归档文件利用该漏洞写入任意文件。
CVSS信息
N/A
漏洞类别
路径遍历