https://blog.qife122.com/tags/%E5%8E%8B%E7%BC%A9%E6%96%87%E4%BB%B6%E5%AE%89%E5%85%A8/ Recent content in 压缩文件安全 on 办公AI智能小助手 Hugo zh-cn qife Mon, 05 Jan 2026 03:40:04 +0800 https://blog.qife122.com/p/%E5%8E%8B%E7%BC%A9%E5%8C%85%E6%96%87%E4%BB%B6%E5%90%8D%E6%AC%BA%E9%AA%97%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3cve-2023-39137%E6%8A%80%E6%9C%AF%E5%89%96%E6%9E%90%E4%B8%8E%E9%98%B2%E5%BE%A1/ Mon, 05 Jan 2026 03:40:04 +0800 https://blog.qife122.com/p/%E5%8E%8B%E7%BC%A9%E5%8C%85%E6%96%87%E4%BB%B6%E5%90%8D%E6%AC%BA%E9%AA%97%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3cve-2023-39137%E6%8A%80%E6%9C%AF%E5%89%96%E6%9E%90%E4%B8%8E%E9%98%B2%E5%BE%A1/ <h1 id="cve-2023-39137压缩包文件名欺骗漏洞技术分析">CVE-2023-39137：压缩包文件名欺骗漏洞技术分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <p><strong>CVE-2023-39137</strong> 是一个存在于 Archive 包（用于 Flutter/Dart 的压缩文件处理库）v3.3.7 及更早版本中的安全漏洞。该漏洞被评定为 <strong>高危</strong> 级别，CVSS 3.1 基础评分为 <strong>7.8</strong>。</p> <p>该漏洞的核心是 <strong>ZIP文件名欺骗</strong>。攻击者可以精心构造一个恶意ZIP文件，使其在局部文件头和中央目录条目中存储不同的文件名。由于Archive包在解析时仅从局部文件头读取文件名，而大多数其他ZIP解析器（如系统工具<code>zipinfo</code>）则优先使用中央目录条目中的文件名，这种不一致性可被利用，导致文件在提取前后的“身份”发生改变。</p>