CVE-2023-39137:压缩包文件名欺骗漏洞分析
漏洞概述
CVE-2023-39137是一个影响Archive库v3.3.7及更早版本的高危安全漏洞。该漏洞允许攻击者欺骗ZIP文件名,导致文件名解析不一致,可能被利用来实施恶意攻击。
技术细节
受影响版本
- Archive库(Pub)v3.3.7及更早版本
修复版本
- Archive库v3.3.8
漏洞描述
Archive库v3.3.7版本中存在一个安全问题,攻击者能够伪造ZIP压缩包中的文件名,这可能导致文件名解析过程中出现不一致性。这种文件名欺骗技术可被恶意利用,绕过安全检查或实施其他攻击。
相关参考
安全评分
CVSS v3.1评分:7.8(高危)
基础指标分析:
- 攻击向量:本地(AV:L)
- 攻击复杂度:低(AC:L)
- 所需权限:无(PR:N)
- 用户交互:需要(UI:R)
- 影响范围:未改变(S:U)
- 机密性影响:高(C:H)
- 完整性影响:高(I:H)
- 可用性影响:高(A:H)
EPSS评分:0.043%
该评分预测此漏洞在接下来30天内被利用的概率为0.043%,处于第13百分位。
弱点分类
CWE-20:不当输入验证 产品接收输入或数据,但未能验证或错误验证输入是否具有安全正确处理数据所需的属性。
标识信息
- CVE ID: CVE-2023-39137
- GHSA ID: GHSA-r285-q736-9v95
- 源代码仓库: brendan-duncan/archive
致谢
此漏洞由安全研究员kj415j45分析发现。