发布日期：2018-05-09
更新日期：2018-05-14

受影响系统：

SpringSource Integration Zip Community Extension Project 1.0.0.RELEASE

描述：

---

CVE(CAN) ID: CVE-2018-1261

Spring Framework是一个开源的Java/Java EE全功能栈的应用程序框架，以Apache许可证形式发布，也有.NET平台上的移植版本。

spring-integration-zip部分版本暴露了一个任意的文件写入漏洞，可以使用特制的zip压缩文件（也影响其他压缩文件，bzip2，tar，xz，war，cpio，7z）来实现，该压缩文件包含路径遍历文件名。 所以当文件名被连接到目标提取目录时，最终路径会在目标文件夹之外结束。这只有在使用这个库的应用程序接受并解包不受信任的zip文件时才会发生。

<*来源：vendor
  *>

建议：

---

厂商补丁：

SpringSource
------------
升级至以下安全版本：

0.1.RELEASE
同时，应避免解压来历不明的zip文件。

参考链接：

https://pivotal.io/security/cve-2018-1261

浏览次数：1824
严重程度：0（网友投票）