Опубликовано: 13 нояб. 2024
Источник: github
Github: Прошло ревью
CVSS4: 8.6
CVSS3: 9.8
Описание
DotNetZip Directory Traversal vulnerability
Directory Traversal vulnerability in DotNetZip v.1.16.0 and before allows a remote attacker to execute arbitrary code via the src/Zip.Shared/ZipEntry.Extract.cs component.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2024-48510
- https://github.com/mihula/ProDotNetZip/pull/21
- https://github.com/mihula/ProDotNetZip/commit/18486ad6d13742a07a6755ef6edf60d7458f1854
- https://gist.github.com/thomas-chauchefoin-bentley-systems/855218959116f870f08857cce2aec731
- https://github.com/haf/DotNetZip.Semverd/blob/e487179b33a9a0f2631eed5fb04d2c952ea5377a/src/Zip.Shared/ZipEntry.Extract.cs#L1365-L1410
- https://www.nuget.org/packages/DotNetZip
Пакеты
Наименование
DotNetZip
nuget
Затронутые версииВерсия исправления
>= 1.10.1, <= 1.16.0
Отсутствует
Наименование
ProDotNetZip
nuget
Затронутые версииВерсия исправления
< 1.19.0
1.19.0
Связанные уязвимости
CVSS3: 9.8
nvd
около 1 года назад
Directory Traversal vulnerability in DotNetZip v.1.16.0 and before allows a remote attacker to execute arbitrary code via the src/Zip.Shared/ZipEntry.Extract.cs component NOTE: This vulnerability only affects products that are no longer supported by the maintainer.
CVSS3: 9.8
fstec
около 1 года назад
Уязвимость библиотеки для работы с zip-файлами DotNetZip, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код