We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
大家好, 奇虎360代码卫士团队在Hutool中发现了一个Zip_slip漏洞 . 详细信息如下: 可以看到并没有对zipEntry.getName()做任何校验就用于创建新的文件,如果恶意攻击者通过上传恶意zip文件(目录中带有../),可以覆盖项目中其他敏感文件或直接上传一句话木马。
奇虎360代码卫士团队