路径遍历漏洞:CVE-2023-39138
漏洞概述
ZIPFoundation库0.9.16版本中存在一个路径遍历漏洞,攻击者能够通过提取特制的ZIP文件来执行路径遍历攻击。
技术细节
受影响版本
- 受影响版本:<= 0.9.17
- 已修复版本:0.9.18
漏洞描述
该漏洞属于CWE-22弱点类别,即"对受限目录路径名的限制不当(路径遍历)"。当产品使用外部输入构造路径名时,未能正确清理路径名中的特殊元素,导致路径解析可能超出受限目录范围。
严重程度
- 严重等级:高
- CVSS评分:7.8/10
- CVSS v3基础指标:
- 攻击向量:本地
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 范围:未改变
- 机密性:高
- 完整性:高
- 可用性:高
参考资源
元数据
- CVE ID:CVE-2023-39138
- GHSA ID:GHSA-c2cc-3569-6jh2
- 源代码仓库:weichsel/ZIPFoundation
- NVD发布日期:2023年8月30日
- GitHub咨询数据库发布日期:2023年8月31日
- 最后更新:2024年2月9日