7.5высокая
BDU:2018-00939 (CVE-2018-1002202)
Уязвимость функции extractDir библиотеки для работы с zip-файлами Zip4j, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2018-08-03
Описание
Уязвимость функции extractDir библиотеки для работы с zip-файлами Zip4j связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с использованием специально созданного zip-архива
Затрагиваемое ПО и версии
Zip4j (1.3.2)Zip4j (1.3.1)Zip4j (1.3.0)Zip4j (1.2.9)Zip4j (1.2.8)Zip4j (1.2.7)Zip4j (1.2.6)Zip4j (1.2.5)Zip4j (1.2.4)Zip4j (1.2.3)Zip4j (1.2.2)Zip4j (1.2.1)Zip4j (1.2.0)Zip4j (1.1.9)Zip4j (1.1.8)Zip4j (1.1.7)Zip4j (1.1.6)Zip4j (1.1.5)Zip4j (1.1.4)Zip4j (1.1.3)Zip4j (1.1.2)Zip4j (1.1.1)Zip4j (1.1.0)Zip4j (1.0.6)Zip4j (1.0.5)Zip4j (1.0.4)Zip4j (1.0.3)Zip4j (1.0.2)Zip4j (1.0.1)Zip4j (1.0.0)
Способ устранения
Рекомендации по устранению: обновление программного обеспечения до версии 1.3.3: https://github.com/snyk/zip-slip-vulnerability
Оценка CVSS
| Балл | 7.5 — высокая опасность |
Источники и патчи