漏洞概述

CVE-2023-39137 是一个在 Archive v3.3.7 版本中发现的漏洞，被评定为高严重性。该漏洞允许攻击者通过特制的ZIP压缩包进行文件名欺骗，这可能导致系统对文件名的解析出现不一致，从而被利用进行进一步攻击。

受影响范围

• 受影响的软件包：archive (Pub)
• 受影响版本：<= 3.3.7
• 已修复版本：3.3.8

漏洞详情

此漏洞的核心问题是不当的输入验证。具体而言，攻击者可以构造一个ZIP文件，使其包含欺骗性的文件名。当archive库（版本3.3.7及以下）处理此类文件时，会导致文件名解析逻辑出现混乱。这种不一致性可能被攻击者利用，例如，通过诱使用户打开恶意文件来执行任意代码或进行其他恶意操作。

技术背景与参考

• CVE记录：此漏洞已收录于美国国家漏洞数据库（NVD），详情可参考其官方条目。
• 相关讨论与修复：该漏洞最初在GitHub仓库 brendan-duncan/archive 的议题 #266 中被报告和讨论，修复提交为 brendan-duncan/archive@0d17b27。
• 利用分析：安全研究机构Ostorlab在其博客和漏洞数据库中详细描述了ZIP包利用技术。此外，Rapid7的漏洞利用模块数据库中也包含了与WinRAR文件名欺骗相关的历史案例，可作为此类攻击手法的参考。
• 通用弱点枚举：此漏洞被归类为 CWE-20: 不当的输入验证。

安全指标

• CVSS v3.1 评分：7.8（高危）
• 攻击向量：本地
• 攻击复杂度：低
• 所需权限：无
• 用户交互：需要
• 影响范围：未改变
• 影响程度：对机密性、完整性和可用性均有高影响。
• EPSS评分：0.043%（未来30天内被利用的概率预估，处于较低的第13百分位）

总结与建议

CVE-2023-39137 是一个典型的因输入验证不充分而导致的安全漏洞。对于使用受影响版本 archive 库的开发者，应立即升级到已修复的 v3.3.8 或更高版本。在处理来自不可信来源的ZIP压缩文件时，应始终保持警惕，并使用最新的安全库进行文件解析操作。