描述

spring-integration-zip，1.0.1 版本之前的版本，存在一个任意文件写入漏洞，可以通过一个特殊构造的 zip 压缩包（也影响其他压缩包，如 bzip2, tar, xz, war, cpio, 7z）来实现，该压缩包包含路径遍历的文件名。因此，当文件名被拼接到目标提取目录时，最终路径会超出目标文件夹。

这专门适用于解压转换器。

这仅在应用程序使用此库并接受和解压来自不受信任来源的 zip 文件时才会发生。

受影响的 Spring 产品和版本

• Spring Integration Zip 社区扩展项目版本 1.0.0.RELEASE

缓解措施

受影响版本的用户应采取以下缓解措施

• 升级至 1.0.1.RELEASE

或不解压不受信任的 zip 文件。

致谢

此问题由 Snyk 安全研究团队识别并负责任地报告。

历史

2018-05-09：初始漏洞报告发布