一、 漏洞 CVE-2018-1002202 基础信息
漏洞信息
# N/A
## 概述
zip4j 在 1.3.3 之前的版本存在目录遍历漏洞,攻击者可以通过 Zip 归档文件中的 `../`(点点斜杠)在解压缩时写入任意文件。此漏洞也称为 'Zip-Slip'。
## 影响版本
- zip4j 1.3.3 之前的版本
## 细节
攻击者可以利用目录遍历漏洞,通过在 Zip 归档文件条目中包含 `../` 来写入任意文件。此漏洞发生在解压缩过程中,解压缩代码未能正确处理路径遍历字符。
## 影响
攻击者可以利用此漏洞写入任意文件,可能导致文件数据破坏、敏感数据泄露或执行任意代码。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
zip4j before 1.3.3 is vulnerable to directory traversal, allowing attackers to write to arbitrary files via a ../ (dot dot slash) in a Zip archive entry that is mishandled during extraction. This vulnerability is also known as 'Zip-Slip'.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
zip4j 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
zip4j是一款基于Java的用于压缩/解压缩的库。 zip4j 1.3.3之前版本中存在目录遍历漏洞。攻击者可借助带有目录遍历名称的特制的zip归档文件利用该漏洞写入任意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-1002202 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CWE-Bench-Java CVE-2018-1002202 versions 1.3.2, 1.3.3 | https://github.com/iris-sast/zip4j | POC详情 |
三、漏洞 CVE-2018-1002202 的情报信息
-
- https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbmu03895en_us x_refsource_CONFIRM
- https://github.com/snyk/zip-slip-vulnerability x_refsource_MISC
- https://snyk.io/vuln/SNYK-JAVA-NETLINGALAZIP4J-31679 x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2018-1002202
四、漏洞 CVE-2018-1002202 的评论
暂无评论