Arbitrary File Write via Archive Extraction (Zip Slip) 漏洞信息(CVE-2022-25842)

一、漏洞 CVE-2022-25842 基础信息

漏洞标题

通过归档提取(Zip Slip)实现任意文件写入

来源：AIGC 神龙大模型

漏洞描述信息

通过存档提取任意文件写入（Zip Slip）

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Arbitrary File Write via Archive Extraction (Zip Slip)

来源：美国国家漏洞数据库 NVD

漏洞描述信息

All versions of package com.alibaba.oneagent:one-java-agent-plugin are vulnerable to Arbitrary File Write via Archive Extraction (Zip Slip) using a specially crafted archive that holds directory traversal filenames (e.g. ../../evil.exe). The attacker can overwrite executable files and either invoke them remotely or wait for the system or user to call them, thus achieving remote command execution on the victim’s machine.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

one-java-agent 路径遍历漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

one-java-agent是提供插件化支持，统一管理众多的Java Agent。 com.alibaba.oneagent:one-java-agent-plugin 所有版本存在安全漏洞，攻击者利用该漏洞可以覆盖可执行文件并远程调用它们，或者等待系统或用户调用它们，从而在受害者的机器上实现远程命令执行。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

路径遍历

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-25842 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2022-25842 的情报信息

https://snyk.io/vuln/SNYK-JAVA-COMALIBABAONEAGENT-2407874 x_refsource_MISC
https://github.com/alibaba/one-java-agent/blob/1f399a2299a8a409d15ea6111a7098629b8f1050/one-java-agent-plugin/src/main/java/com/alibaba/oneagent/utils/IOUtils.java x_refsource_MISC
https://github.com/alibaba/one-java-agent/pull/29 x_refsource_MISC
https://github.com/alibaba/one-java-agent/pull/29/commits/359603b63fc6c59d8b57e061c171954bab3433bf x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2022-25842

一、 漏洞 CVE-2022-25842 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-25842 的公开POC

三、漏洞 CVE-2022-25842 的情报信息

一、漏洞 CVE-2022-25842 基础信息