CVE-2020-7668

Опубликовано: 23 июн. 2020

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

In all versions of the package github.com/unknwon/cae/tz, the ExtractTo function doesn't securely escape file paths in zip archives which include leading or non-leading "..". This allows an attacker to add or replace files system-wide.

Ссылки

https://snyk.io/vuln/SNYK-GOLANG-GITHUBCOMUNKNWONCAETZ-570384
Exploit
Third Party Advisory
https://snyk.io/vuln/SNYK-GOLANG-GITHUBCOMUNKNWONCAETZ-570384
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:compression_and_archive_extensions_tz_project:compression_and_archive_extensions_tz_project:*:*:*:*:*:*:*:*

EPSS

Процентиль: 57%

0.00346

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-22

Связанные уязвимости

CVE-2020-7668

CVSS3: 7.5

ubuntu

больше 5 лет назад

CVE-2020-7668

CVSS3: 7.5

debian

больше 5 лет назад

In all versions of the package github.com/unknwon/cae/tz, the ExtractT ...

GHSA-88jf-7rch-32qc

CVSS3: 7.5

github

больше 4 лет назад

github.com/unknwon/cae Path Traversal vulnerability

EPSS

Процентиль: 57%

0.00346

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-22