影响成千上万的项目的Zip Slip漏洞

Yhcrana写道：考虑到视频中的故事非常简单，那并不是我想要发生的事情。显然这是Oracle，Apache和其他人正在使用的库中的一个缺陷。该注册报告称：“诱导用户误删档案文件的恶意代码可以利用大量软件中的漏洞侵入计算机文件系统的其他地方并对其中的文档和数据产生破坏并可能执行恶意代码。具体来说，这些漏洞被发现者称为”Zip Slip“在安全装备Snyk的描述中，这是一个可能被利用来执行任意代码让其执行攻击的路径遍历漏洞的恶意代码，它影响了.zip，.bz2，.tar，.xz，.war，.cpio和.7z格式的压缩文件。 根据Snyk的信息显示，由于此代码位于解压缩压缩文件的代码中，因此就得到了“Zip Slip”这个名字。当软件没有正确检查和清理存档中的文件名时，攻击者可以将解压缩文件的目标路径设置为系统中其他位置的现有文件夹或文件。当该文件被提取时，它将覆盖同一路径中的现有数据。“