一、 漏洞 CVE-2024-8088 基础信息
漏洞信息
# 在遍历zipfile.Path中的压缩文件条目名称时,出现无限循环

# 漏洞描述

## 概述
CPython的`zipfile`模块中的`zipfile.Path`存在高危漏洞。注意,常见的API `zipfile.ZipFile`类不受此漏洞影响。

## 影响版本
未指定具体版本

## 细节
当遍历ZIP归档文件条目的名称(例如 `zipfile.Path`的 `namelist()`、`iterdir()`等方法)时,使用恶意构造的ZIP归档文件可以将进程置入无限循环中。此缺陷在仅读取元数据或提取ZIP归档文件内容时适用。

## 影响
处理用户控制的ZIP归档文件的程序可能会受到影响。其他程序不受影响。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Infinite loop when iterating over zip archive entry names from zipfile.Path
来源:美国国家漏洞数据库 NVD
漏洞描述信息
There is a HIGH severity vulnerability affecting the CPython "zipfile" module affecting "zipfile.Path". Note that the more common API "zipfile.ZipFile" class is unaffected. When iterating over names of entries in a zip archive (for example, methods of "zipfile.Path" like "namelist()", "iterdir()", etc) the process can be put into an infinite loop with a maliciously crafted zip archive. This defect applies when reading only metadata or extracting the contents of the zip archive. Programs that are not handling user-controlled zip archives are not affected.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不可达退出条件的循环(无限循环)
来源:美国国家漏洞数据库 NVD
漏洞标题
Python 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Python是Python基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。 Python存在安全漏洞,该漏洞源于在使用 zipfile 模块迭代 zip 存档中的条目名称时可能会因恶意制作的 zip 存档而陷入无限循环。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-8088 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-8088 的情报信息