描述

spring-integration-zip，1.0.1 之前的版本，存在任意檔案寫入漏洞，該漏洞可使用特製的 zip 壓縮檔（也會影響其他壓縮檔，如 bzip2、tar、xz、war、cpio、7z）來達成，這些壓縮檔包含路徑遍歷檔名。因此，當檔名連接到目標解壓縮目錄時，最終路徑會超出目標資料夾。

這特別適用於 unzip 轉換器。

只有在使用此程式庫的應用程式接受並解壓縮來自不受信任來源的 zip 檔案時，才會發生這種情況。

受影響的 Spring 產品和版本

• Spring Integration Zip 社群擴充專案版本 1.0.0.RELEASE

緩解措施

受影響版本的用戶應採取以下緩解措施

• 升級到 1.0.1.RELEASE

或不要解壓縮不受信任的 zip 檔案。

致謝

此問題由 Snyk Security Research Team 發現並負責地報告。

歷史

2018-05-09：發布初始漏洞報告