描述

spring-integration-zip，1.0.2 版本之前的版本，暴露了一个任意文件写入漏洞，该漏洞可以通过使用特制的 zip 存档（也影响其他存档，如 bzip2、tar、xz、war、cpio、7z）来实现，其中包含路径遍历文件名。因此，当文件名与目标提取目录连接时，最终路径会超出目标文件夹。先前的 CVE-2018-1261 阻止了框架本身写入文件。虽然框架本身现在不会写入此类文件，但它会将错误的路径呈现给用户应用程序，用户应用程序可能会无意中利用该路径写入文件。

这专门适用于解压转换器。

这仅在应用程序使用此库并接受和解压来自不受信任来源的 zip 文件时才会发生。

受影响的 Spring 产品和版本

• Spring Integration Zip Community Extension Project 1.0.1.RELEASE 及更早版本。

缓解措施

受影响版本的用户应采取以下缓解措施

• 升级至 1.0.2.RELEASE

或不解压不受信任的 zip 文件。

致谢

此问题由 Snyk 安全研究团队和 Abago Forgans 识别并负责任地报告。

历史

2018-05-11：首次发布漏洞报告