描述

spring-integration-zip 1.0.2之前的版本存在任意文件写入漏洞，可通过精心制作的zip压缩包（也影响其他压缩包，如bzip2、tar、xz、war、cpio、7z）实现，该压缩包包含路径遍历文件名。因此，当文件名与目标解压目录连接时，最终路径会超出目标文件夹。之前的CVE-2018-1261阻止了框架本身写入文件。虽然框架本身现在不会写入此类文件，但它确实会将错误路径呈现给用户应用程序，用户应用程序可能会无意中使用该路径写入文件。

这特别适用于unzip转换器。

只有当使用此库的应用程序接受并解压缩来自不受信任来源的zip文件时，才会发生这种情况。

受影响的Spring产品和版本

• Spring Integration Zip 社区扩展项目 1.0.1.RELEASE 及更早版本。

缓解措施

受影响版本的使用者应采取以下缓解措施：

• 升级到1.0.2.RELEASE版本。

或者不要解压不受信任的zip文件。

致谢

此问题由Snyk安全研究团队和Abago Forgans发现并负责报告。

历史记录

2018-05-11：发布初始漏洞报告