描述

spring-integration-zip，版本早於 1.0.2，存在任意檔案寫入漏洞，可透過使用特殊製作的 zip 封存檔（也影響其他封存檔，如 bzip2、tar、xz、war、cpio、7z）來達成，該封存檔包含路徑遍歷的檔名。 因此，當檔名連接到目標解壓縮目錄時，最終路徑會落在目標資料夾之外。 先前的 CVE-2018-1261 阻止了框架本身寫入該檔案。 雖然框架本身現在不寫入此類檔案，但它會將錯誤的路徑呈現給使用者應用程式，這可能會在不知不覺中使用該路徑寫入檔案。

這特別適用於解壓縮轉換器。

只有在使用此程式庫的應用程式接受和解壓縮來自不受信任來源的 zip 檔案時，才會發生這種情況。

受影響的 Spring 產品和版本

• Spring Integration Zip 社群擴充專案版本 1.0.1.RELEASE 及更早版本。

緩解措施

受影響版本的用戶應採取以下緩解措施

• 升級到 1.0.2.RELEASE

或不要解壓縮不受信任的 zip 檔案。

功勞

此問題由 Snyk Security Research Team 和 Abago Forgans 發現並負責地報告。

歷史紀錄

2018-05-11：發布初始漏洞報告