描述

spring-integration-zip 1.0.1 之前的版本存在任意文件写入漏洞，可以通过使用特制的 zip 压缩文件（也影响其他压缩文件，如 bzip2、tar、xz、war、cpio、7z）来利用，该文件包含路径遍历文件名。因此，当文件名与目标解压目录连接时，最终路径会超出目标文件夹。

这特别适用于 unzip 变换器。

只有当使用此库的应用程序接受并解压缩来自不受信任来源的 zip 文件时，才会发生这种情况。

受影响的 Spring 产品和版本

受影响版本的使用者应采取以下缓解措施

或者不要解压不受信任的 zip 文件。

此问题由 Snyk 安全研究团队发现并负责任地报告。

2018-05-09：发布初始漏洞报告

VMware 提供培训和认证，帮助您快速提升技能。

Tanzu Spring 通过一个简单的订阅提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

查看 Spring 社区中所有即将举行的活动。