描述

spring-integration-zip，1.0.2 之前的版本，存在任意文件写入漏洞。可以使用特制的 zip 压缩包（也会影响其他压缩包，例如 bzip2、tar、xz、war、cpio、7z）利用此漏洞，这些压缩包包含路径遍历的文件名。因此，当文件名连接到目标提取目录时，最终路径会超出目标文件夹。之前的 CVE-2018-1261 阻止了框架本身写入文件。虽然框架本身现在不写入此类文件，但它会将错误路径呈现给用户应用程序，这可能会无意中使用该路径写入文件。

这尤其适用于 unzip 转换器。

只有当使用此库的应用程序接受并解压来自不受信任来源的 zip 文件时，才会发生这种情况。

受影响的 Spring 产品和版本

• Spring Integration Zip Community Extension Project 1.0.1.RELEASE 及更早版本。

缓解措施

受影响版本的用户应采取以下缓解措施

• 升级到 1.0.2.RELEASE

或者不要解压不受信任的 zip 文件。

鸣谢

此问题由 Snyk Security Research Team 和 Abago Forgans 发现并负责任地报告。

历史

2018-05-11：发布初始漏洞报告