漏洞详情
包
swift (github.com/marmelroy/Zip (Swift))
受影响版本 <= 2.1.2
已修复版本 无
描述 Zip Swift v2.1.2 版本中存在一个问题,允许攻击者通过特制的zip条目执行路径遍历攻击。
参考信息
- https://nvd.nist.gov/vuln/detail/CVE-2023-39135
- marmelroy/Zip#245
- https://blog.ostorlab.co/zip-packages-exploitation.html
- https://ostorlab.co/vulndb/advisory/OVE-2023-1
- https://security.snyk.io/research/zip-slip-vulnerability
发布日期(国家漏洞数据库) 2023年8月30日 发布至GitHub Advisory Database日期 2023年8月31日 审核日期 2023年8月31日 最后更新日期 2024年2月9日
严重性
高危 - CVSS总体评分:7.8 / 10
CVSS v3 基础指标
- 攻击向量 (AV): 本地 (L)
- 攻击复杂度 (AC): 低 (L)
- 所需权限 (PR): 无 (N)
- 用户交互 (UI): 需要 (R)
- 影响范围 (S): 未改变 (U)
- 机密性影响 (C): 高 (H)
- 完整性影响 (I): 高 (H)
- 可用性影响 (A): 高 (H)
CVSS向量字符串: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
EPSS 分数
0.472% (第64百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
弱点 ID: CWE-22 弱点名称: 对路径名到受限目录的限制不当(路径遍历) 描述: 该产品使用外部输入来构造一个旨在标识位于受限父目录下的文件或目录的路径名,但产品未能正确清除路径名中的特殊元素,这些元素可能导致路径名解析到受限目录之外的位置。在MITRE上了解更多信息。
标识符
- CVE ID: CVE-2023-39135
- GHSA ID: GHSA-g454-wj9r-jpg4
源代码: marmelroy/Zip
此公告已被编辑。参见历史记录。