CVE编号
CVE-2018-1002207利用情况
暂无补丁情况
N/A披露时间
2018-07-26漏洞描述
e4ef56d48eb029648b0e895bb0b6a393ef0829c3之前的mholt / archiver golang包易受目录遍历的攻击,允许攻击者通过在提取过程中处理不当的归档条目中的../(点点斜杠)写入任意文件。此漏洞也称为“Zip-Slip”。<br>解决建议
厂商已发布了漏洞修复程序,请及时关注更新:https://github.com/mholt/archiver/commit/e4ef56d48eb029648b0e895bb0b6a393ef0829c3
参考链接 |
|
|---|---|
| https://github.com/mholt/archiver/commit/e4ef56d48eb029648b0e895bb0b6a393ef0829c3 | |
| https://github.com/mholt/archiver/pull/65 | |
| https://github.com/snyk/zip-slip-vulnerability | |
| https://snyk.io/research/zip-slip-vulnerability | |
| https://snyk.io/vuln/SNYK-GOLANG-GITHUBCOMMHOLTARCHIVERCMDARCHIVER-50071 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | archiver_project | archiver | * |
Up to (including) 2.0 |
|||||
- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 无
- 完整性 高
还没有评论,来说两句吧...