一、 漏洞 CVE-2018-1002200 基础信息
漏洞信息
# N/A
## 漏洞概述
plexus-archiver 在 3.6.0 之前的版本存在目录穿越漏洞,攻击者可以利用归档条目中的 `../`(点点斜杠)在文件提取过程中非法写入任意文件。
## 影响版本
- 影响版本: plexus-archiver 3.6.0 之前的版本
## 漏洞细节
此漏洞源于归档文件条目中的 `../` 序列在文件提取过程中没有得到正确处理,允许攻击者写入任意文件位置,即所谓的“Zip-Slip”漏洞。
## 漏洞影响
- 允许攻击者通过特制的归档条目写入系统中的任意文件。
- 可能导致未经授权的数据写入或覆盖,引起系统文件损坏或执行任意代码。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
plexus-archiver before 3.6.0 is vulnerable to directory traversal, allowing attackers to write to arbitrary files via a ../ (dot dot slash) in an archive entry that is mishandled during extraction. This vulnerability is also known as 'Zip-Slip'.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
plexus-archiver 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
plexus-archiver是一个用于压缩/解压缩的库。 plexus-archiver 3.6.0之前版本中存在目录遍历漏洞。攻击者可借助带有目录遍历名称的特制的zip归档文件利用该漏洞写入文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-1002200 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/shoucheng3/codehaus-plexus__plexus-archiver_CVE-2018-1002200_3-5 | POC详情 |
三、漏洞 CVE-2018-1002200 的情报信息
-
- https://github.com/codehaus-plexus/plexus-archiver/commit/f8f4233508193b70df33759ae9dc6154d69c2ea8 x_refsource_CONFIRM
- https://github.com/snyk/zip-slip-vulnerability x_refsource_MISC
- https://snyk.io/vuln/SNYK-JAVA-ORGCODEHAUSPLEXUS-31680 x_refsource_MISC
- https://github.com/codehaus-plexus/plexus-archiver/pull/87 x_refsource_CONFIRM
- https://www.debian.org/security/2018/dsa-4227 vendor-advisory x_refsource_DEBIAN
- https://access.redhat.com/errata/RHSA-2018:1837 vendor-advisory x_refsource_REDHAT
- https://access.redhat.com/errata/RHSA-2018:1836 vendor-advisory x_refsource_REDHAT
- https://nvd.nist.gov/vuln/detail/CVE-2018-1002200
四、漏洞 CVE-2018-1002200 的评论
暂无评论