描述

spring-integration-zip 1.0.4之前的版本存在任意文件写入漏洞，可以使用特制zip压缩包（也影响其他压缩包，例如bzip2、tar、xz、war、cpio、7z）利用路径遍历文件名实现攻击。当文件名与目标解压目录连接时，最终路径会超出目标文件夹。之前的CVE-2018-1263阻止了框架解压一般的遍历文件名。但是，包含解压工作目录的特殊文件名仍然可以跳出该工作目录。这特别适用于unzip转换器。只有当使用此库的应用程序接受并解压来自不受信任来源的zip文件时，才会发生这种情况。

受影响的Spring产品和版本

• Spring Integration Zip社区扩展项目
  • 1.0.3.RELEASE及更早版本

缓解措施

受影响版本的使用者应该应用以下缓解措施，或者不要解压不受信任的zip文件。

• Spring Integration Zip社区扩展项目
  • 1.0.4.RELEASE

致谢

此问题由Viettel网络安全公司的Trung Pham发现并负责报告。

参考资料

• https://tanzu.vmware.com/security/cve-2018-1263
• https://tanzu.vmware.com/security/cve-2018-1261

历史记录

• 2021-01-28：修复更新
• 2018-05-09：发布原始缓解措施修复