Skip to content

zip_slip漏洞 #162

Closed
Closed
@QiAnXinCodeSafe

Description

@QiAnXinCodeSafe

大家好,
奇虎360代码卫士团队在Hutool中发现了一个Zip_slip漏洞 . 详细信息如下:
bsbcr75to x49xho fhah b
image
可以看到并没有对zipEntry.getName()做任何校验就用于创建新的文件,如果恶意攻击者通过上传恶意zip文件(目录中带有../),可以覆盖项目中其他敏感文件或直接上传一句话木马。

                                                                                                                           奇虎360代码卫士团队

Metadata

Metadata

Assignees

No one assigned

    Labels

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions