路径遍历漏洞：Archive库中的安全问题

漏洞概述

CVE-2023-39139是一个影响Archive库v3.3.7及更早版本的高危安全漏洞。该漏洞允许攻击者通过特制的zip文件执行路径遍历攻击。

技术细节

受影响版本

• 受影响版本：<= 3.3.7
• 修复版本：3.3.8

漏洞类型

CWE-22: 路径遍历漏洞

• 该漏洞属于"对受限目录路径名限制不当"类别
• 攻击者能够构造特殊的路径名，绕过目录限制，访问或写入系统其他位置的文件

攻击场景

攻击者可以创建一个精心构造的zip压缩包，当使用受影响的Archive库版本解压时，恶意文件可以被提取到预期目录之外的系统位置。

安全影响

CVSS v3.1评分：7.8（高危）

基础指标分析：

• 攻击向量(Attack Vector): Local (本地)
• 攻击复杂度(Attack Complexity): Low (低)
• 所需权限(Privileges Required): None (无需权限)
• 用户交互(User Interaction): Required (需要用户交互)
• 影响范围(Scope): Unchanged (范围不变)

影响维度：

• 机密性影响(Confidentiality): High (高)
• 完整性影响(Integrity): High (高)
• 可用性影响(Availability): High (高)

技术参考

相关链接

• NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2023-39139

• 技术分析文章: https://blog.ostorlab.co/zip-packages-exploitation.html

• 漏洞数据库记录: https://ostorlab.co/vulndb/advisory/OVE-2023-5

修复提交

• brendan-duncan/archive@6de4923
• brendan-duncan/archive@edb0d48

漏洞管理

时间线

• NVD发布: 2023年8月30日
• GitHub安全通告发布: 2023年8月31日
• 安全团队审核: 2023年8月31日
• 最后更新: 2023年11月6日

EPSS评分

• 利用可能性: 0.046%（第14百分位）
• 此评分预测该漏洞在未来30天内被利用的概率

防范建议

1. 立即升级：将Archive库更新至3.3.8或更高版本
2. 输入验证：对解压操作的文件名进行严格验证
3. 沙箱环境：在受限环境中执行文件解压操作
4. 最小权限原则：使用最低必要权限运行相关应用程序

相关资源

• 源代码仓库: brendan-duncan/archive
• 安全通告ID: GHSA-9v85-q87q-g4vg

贡献者

• 安全分析师：kj415j45
• 安全分析师：jonasfj

注意：本文档基于公开安全信息编写，仅供技术参考。实际环境中应采取适当的安全措施和测试。