解码时任意文件写入 (CVE-2024-21633)
CVE编号
CVE-2024-21633利用情况
暂无补丁情况
N/A披露时间
2024-01-04漏洞描述
Apktool是一种用于逆向工程Android APK文件的工具。在2.9.1及之前的版本中,Apktool根据资源名称推断资源文件的输出路径,攻击者可以通过操纵资源名称将文件放置在系统上所希望的位置。受影响的环境是那些攻击者可以写入/覆盖用户具有写访问权限的任何文件,并且要么知道用户名称,要么当前工作目录位于用户文件夹下的环境。提交的d348c43b24a9de350ff6e5bd610545a10c1fc712修补了这个问题。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/iBotPeaches/Apktool/commit/d348c43b24a9de350ff6e5bd610545a... | |
| https://github.com/iBotPeaches/Apktool/security/advisories/GHSA-2hqv-2xv4-5h5w |
- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论