CVE-2023-39137:Archive 库中的 ZIP 文件名欺骗漏洞解析

本文详细分析了Archive库v3.3.7及更早版本中存在的一个高危安全漏洞(CVE-2023-39137)。该漏洞允许攻击者通过伪造ZIP文件名进行欺骗攻击,导致文件名解析不一致,从而可能被利用执行恶意代码。

CVE-2023-39137:Archive 库中的文件名欺骗漏洞

漏洞详情

严重性等级:高 (CVSS 评分 7.8)

受影响版本:Archive (Pub) v3.3.7 及更早版本

修复版本:Archive v3.3.8

漏洞描述

Archive 库的 3.3.7 版本中存在一个安全问题,攻击者可以利用该漏洞伪造 ZIP 文件名。这种文件名欺骗手段可能导致不一致的文件名解析,为攻击者创造了可乘之机。

技术背景

该漏洞被归类为 CWE-20: 不当输入验证。具体来说,受影响的产品在处理输入数据时,未能正确验证或验证不充分,导致无法确保数据处理的安全性和正确性。

CVSS v3 基准指标分析

  • 攻击向量 (AV):本地 (L)
  • 攻击复杂度 (AC):低 (L)
  • 所需权限 (PR):无 (N)
  • 用户交互 (UI):需要 (R)
  • 范围 (S):未改变 (U)
  • 机密性影响 (C):高 (H)
  • 完整性影响 (I):高 (H)
  • 可用性影响 (A):高 (H)

完整向量:CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

相关参考

  1. NVD 漏洞详情页面

  2. Ostorlab ZIP 包利用分析文章

  3. Ostorlab 漏洞数据库记录

  4. 修复提交记录

  5. Rapid7 WinRAR 名称欺骗利用模块

安全指标

  • EPSS 分数:0.043% (预测未来30天内被利用的概率,处于第13百分位)
  • 发布时间:2023年8月31日加入 GitHub 咨询数据库
  • 最后更新:2024年10月2日

识别信息

  • CVE ID:CVE-2023-39137
  • GHSA ID:GHSA-r285-q736-9v95
  • 源代码仓库:brendan-duncan/archive

致谢

此漏洞由分析师 kj415j45 发现并报告。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次