ГлавнаяБаза уязвимостей БДУ → BDU:2018-00939
7.5высокая

BDU:2018-00939 (CVE-2018-1002202)

Уязвимость функции extractDir библиотеки для работы с zip-файлами Zip4j, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2018-08-03
Описание

Уязвимость функции extractDir библиотеки для работы с zip-файлами Zip4j связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с использованием специально созданного zip-архива

Затрагиваемое ПО и версии
Zip4j (1.3.2)Zip4j (1.3.1)Zip4j (1.3.0)Zip4j (1.2.9)Zip4j (1.2.8)Zip4j (1.2.7)Zip4j (1.2.6)Zip4j (1.2.5)Zip4j (1.2.4)Zip4j (1.2.3)Zip4j (1.2.2)Zip4j (1.2.1)Zip4j (1.2.0)Zip4j (1.1.9)Zip4j (1.1.8)Zip4j (1.1.7)Zip4j (1.1.6)Zip4j (1.1.5)Zip4j (1.1.4)Zip4j (1.1.3)Zip4j (1.1.2)Zip4j (1.1.1)Zip4j (1.1.0)Zip4j (1.0.6)Zip4j (1.0.5)Zip4j (1.0.4)Zip4j (1.0.3)Zip4j (1.0.2)Zip4j (1.0.1)Zip4j (1.0.0)
Способ устранения

Рекомендации по устранению: обновление программного обеспечения до версии 1.3.3: https://github.com/snyk/zip-slip-vulnerability

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://snyk.io/vuln/SNYK-JAVA-NETLINGALAZIP4J-31679https://www.cybersecurity-help.cz/vdb/SB2018073111?affChecked=1https://www.securitylab.ru/vulnerability/494718.phphttps://access.redhat.com/security/cve/cve-2018-1002202https://github.com/snyk/zip-slip-vulnerabilityhttps://snyk.io/research/zip-slip-vulnerability
Проверьте безопасность своего сайта и почты → Полная проверка домена