压缩包文件名欺骗漏洞 CVE-2023-39137 技术分析

漏洞详情

包名: pub/archive (Pub)

受影响版本: <= 3.3.7

修复版本: 3.3.8

漏洞描述

Archive v3.3.7 中存在一个问题，允许攻击者欺骗 zip 文件名，这可能导致文件名解析不一致。

参考资料

• https://nvd.nist.gov/vuln/detail/CVE-2023-39137

• brendan-duncan/archive#266

• https://blog.ostorlab.co/zip-packages-exploitation.html

• https://ostorlab.co/vulndb/advisory/OVE-2023-3

• brendan-duncan/archive@0d17b27

• https://www.rapid7.com/db/modules/exploit/windows/fileformat/winrar_name_spoofing

安全评分

严重程度: 高危

CVSS 总体评分: 7.8/10

CVSS v3 基础指标

• 攻击向量: 本地

• 攻击复杂度: 低

• 所需权限: 无

• 用户交互: 需要

• 作用范围: 未改变

• 机密性影响: 高

• 完整性影响: 高

• 可用性影响: 高

弱点分类

弱点: CWE-20 - 输入验证不当

产品接收输入或数据，但未验证或错误验证输入具有安全正确处理数据所需的属性。

标识符

• CVE ID: CVE-2023-39137

• GHSA ID: GHSA-r285-q736-9v95

源代码

brendan-duncan/archive

致谢

分析师: kj415j45 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享