关键信息概述 漏洞修复描述 此 修复了 和 中的 zip 解压漏洞 (#12527)。 主要修复点: 阻止 zip 文件中的符号链接:防止通过符号链接访问文件系统中的其他路径。 拒绝加密的 zip 条目:避免处理加密的 zip 文件,防止潜在的安全风险。 阻断绝对路径攻击(包括 Windows 路径):防止通过绝对路径写入或读取文件。 阻止 zip 滑滑梯 (directory traversal) 攻击:避免提取到目标路径之外。 使用流式处理,优化存储:实现更安全的文件流处理,减少内存压力。 --- 改动代码关键点 文件 新加危险文件类型扫描: 增加文件名安全检查: 文件 新增符号链接检测: 修复目录穿越模式: --- 安全性与健壮性优化 此 强化了文件操作输入的校验,避免了多种潜在的安全风险,适合进行自动化代码审查与安全性评估。