ГлавнаяБаза уязвимостей БДУ → BDU:2018-00938
7.5критическая

BDU:2018-00938

Уязвимость функции extractDir библиотеки Node.js для работы с zip-файлами Adm-zip, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2018-08-03
Описание

Уязвимость функции extractDir библиотеки Node.js для работы с zip-файлами Adm-zip связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с использованием специально созданного архива

Затрагиваемое ПО и версии
Adm-zip (0.4.8)Adm-zip (0.4.7)Adm-zip (0.4.6)Adm-zip (0.4.5)Adm-zip (0.4.4)Adm-zip (0.4.3)Adm-zip (0.4.0)
Способ устранения

Рекомендации по устранению: обновление программного обеспечения до версии 0.4.9 или выше

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://github.com/snyk/zip-slip-vulnerabilityhttps://snyk.io/research/zip-slip-vulnerabilityhttps://snyk.io/vuln/npm:adm-zip:20180415https://github.com/cthackers/adm-zip/commit/62f64004fefb894c523a7143e8a88ebe6c84df25https://github.com/cthackers/adm-zip/pull/212https://www.securitylab.ru/vulnerability/494720.phphttps://fortiguard.com/encyclopedia/ips/46226https://www.cybersecurity-help.cz/vdb/SB2018073112
Проверьте безопасность своего сайта и почты → Полная проверка домена