漏洞详情
包名: pub/archive (Pub)
受影响版本: <= 3.3.7
修复版本: 3.3.8
漏洞描述
Archive v3.3.7中存在一个问题,允许攻击者欺骗zip文件名,这可能导致文件名解析不一致。
参考资料
- nvd.nist.gov/vuln/detail…
- brendan-duncan/archive#266
- blog.ostorlab.co/zip-package…
- ostorlab.co/vulndb/advi…
- brendan-duncan/archive@0d17b27
- www.rapid7.com/db/modules/…
安全评分
严重程度: 高危
CVSS总体评分: 7.8/10
CVSS v3基础指标
- 攻击向量: 本地
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 作用范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
弱点分类
弱点: CWE-20 - 输入验证不当
产品接收输入或数据,但未验证或错误验证输入具有安全正确处理数据所需的属性。
标识符
- CVE ID: CVE-2023-39137
- GHSA ID: GHSA-r285-q736-9v95
源代码
brendan-duncan/archive
致谢
分析师: kj415j45
