CVE-2023-39137:档案包中的文件名欺骗漏洞
漏洞详情
包名称: archive (Pub)
受影响版本: <= 3.3.7
修复版本: 3.3.8
漏洞描述
Archive v3.3.7版本中存在一个问题,允许攻击者伪造zip文件名,这可能导致不一致的文件名解析。
技术细节
该漏洞属于输入验证不当(CWE-20)类型,攻击者可以通过特制的zip文件利用此漏洞。当系统处理这些被篡改的文件名时,会出现解析不一致的情况,可能被用于绕过安全检测或实施其他攻击。
严重程度
CVSS评分: 7.8(高危)
攻击向量: 本地
攻击复杂度: 低
所需权限: 无
用户交互: 需要
影响范围: 未改变
机密性影响: 高
完整性影响: 高
可用性影响: 高
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2023-39137
- brendan-duncan/archive#266
- https://blog.ostorlab.co/zip-packages-exploitation.html
- https://ostorlab.co/vulndb/advisory/OVE-2023-3
- brendan-duncan/archive@0d17b27
- https://www.rapid7.com/db/modules/exploit/windows/fileformat/winrar_name_spoofing
时间线
- 国家漏洞数据库发布: 2023年8月30日
- GitHub咨询数据库发布: 2023年8月31日
- 最后更新: 2024年10月2日
安全建议
建议用户立即升级到Archive 3.3.8或更高版本,以避免此漏洞带来的安全风险。