描述

spring-integration-zip（1.0.4 之前的版本）存在任意文件写入漏洞，可通过特制的 zip 压缩包（也影响其他压缩包，如 bzip2、tar、xz、war、cpio、7z）实现，该压缩包包含路径遍历文件名。当文件名与目标解压目录拼接时，最终路径会超出目标文件夹。之前的 CVE-2018-1263 阻止了框架解压一般的遍历文件名。而包含用于解压的工作目录的特殊文件名，仍然可以从该工作目录中“滑出”。这尤其适用于解压转换器。此问题仅在应用程序使用此库并接受和解压来自不受信任来源的 zip 文件时才会发生。

受影响的 Spring 产品和版本

• Spring Integration Zip 社区扩展项目
  • 1.0.3.RELEASE 及更早版本

缓解措施

受影响版本的用户应采用以下缓解措施或不要解压不受信任的 zip 文件

• Spring Integration Zip 社区扩展项目
  • 1.0.4.RELEASE

致谢

此问题由 Viettel Cyber Security 的 Trung Pham 发现并负责任地报告。

参考资料

• https://tanzu.vmware.com/security/cve-2018-1263
• https://tanzu.vmware.com/security/cve-2018-1261

历史

• 2021-01-28：修复更新
• 2018-05-09：原始缓解修复发布