# N/A
## 漏洞概述
Python的`tarfile`模块中的`extract`和`extractall`函数存在目录遍历漏洞,攻击者可以通过TAR归档文件中的`..`(点点)序列覆盖任意文件,从而实现远程攻击。
## 影响版本
未具体指明受影响的版本,但此漏洞与CVE-2001-1267相关。
## 漏洞细节
攻击者通过利用`tarfile`模块中的`extract`和`extractall`函数,可以将带有`..`(点点)序列的文件名的TAR归档文件上传,从而覆盖系统中的任意文件。
## 影响
攻击者可以利用此漏洞覆盖任意文件,可能导致数据泄露、数据损坏或其他安全问题。
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Creosote is our solution to searching for the tarfile vulnerability described by CVE-2007-4559. | https://github.com/advanced-threat-research/Creosote | POC详情 |
| 2 | CVE-2007-4559 - Polemarch exploit | https://github.com/Ooscaar/MALW | POC详情 |
| 3 | None | https://github.com/davidholiday/CVE-2007-4559 | POC详情 |
| 4 | Bypass for CVE-2007-4559 Trellix patch | https://github.com/luigigubello/trellix-tarslip-patch-bypass | POC详情 |
| 5 | YISF 2024 CTF-Web Directory (Traversal via ".tar" file, CVE-2007-4559), easy | https://github.com/JamesDarf/tarpioka | POC详情 |
| 6 | YISF 2024 CTF-Web (Directory Traversal via ".tar" file, CVE-2007-4559), easy | https://github.com/JamesDarf/wargame-tarpioka | POC详情 |
| 7 | YISF 2024 CTF-Web (Directory Traversal via ".tar" file, CVE-2007-4559), easy | https://github.com/m0d0ri205/wargame-tarpioka | POC详情 |
| 8 | None | https://github.com/depers-rus/CVE-2007-4559 | POC详情 |
暂无评论