Extract 的检查不足,导致攻击者可以在提取目录之外创建符号链接。(CVE-2024-47877)
CVE编号
CVE-2024-47877利用情况
暂无补丁情况
N/A披露时间
2024-10-12漏洞描述
Extract 是一个用于提取 zip、tar.gz 或 tar.bz2 格式存档的 Go 库。恶意构建的归档文件可能会允许攻击者在提取目标目录之外创建符号链接(symlink)。此漏洞已在 4.0.0 版本中修复。如果您正在使用 Extractor.FS 接口,升级到 v4 将需要实现新增的新方法。解决建议
"将组件 github.com/codeclysm/extract/v4 升级至 4.0.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/codeclysm/extract/commit/4a98568021b8e289345c7f526ccbd7ed732cf286 | |
| https://github.com/codeclysm/extract/security/advisories/GHSA-8rm2-93mq-jqhc |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
| CWE-61 | UNIX符号链接跟随 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论