ГлавнаяБаза уязвимостей БДУ → BDU:2018-00933
10критическая

BDU:2018-00933

Уязвимость функции extractDir компонента JICompress библиотеки QuaZIP, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2018-08-03
Описание

Уязвимость функции extractDir компонента JICompress (JlCompress.cpp) библиотеки QuaZIP связана с недостатками проверки имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированного архива

Затрагиваемое ПО и версии
Quazip (7.4)Quazip (7.5)
Способ устранения

Использование рекомендаций:
https://github.com/stachenov/quazip/commit/5d2fc16a1976e5bf78d2927b012f67a2ae047a98

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://snyk.io/research/zip-slip-vulnerabilityhttps://github.com/stachenov/quazip/blob/0.7.6/NEWS.txthttps://github.com/stachenov/quazip/commit/5d2fc16a1976e5bf78d2927b012f67a2ae047a98https://github.com/snyk/zip-slip-vulnerabilityhttps://www.securitylab.ru/vulnerability/494716.phphttps://tools.cisco.com/security/center/viewAlert.x?alertId=58475https://www.cybersecurity-help.cz/vdb/SB2018073110
Проверьте безопасность своего сайта и почты → Полная проверка домена