CVE-2024-48510

Опубликовано: 13 нояб. 2024

Источник: nvd

CVSS3: 9.8

CVSS3: 9.1

EPSS Низкий

Описание

Directory Traversal vulnerability in DotNetZip v.1.16.0 and before allows a remote attacker to execute arbitrary code via the src/Zip.Shared/ZipEntry.Extract.cs component NOTE: This vulnerability only affects products that are no longer supported by the maintainer.

Ссылки

https://gist.github.com/thomas-chauchefoin-bentley-systems/855218959116f870f08857cce2aec731
Patch
Third Party Advisory
https://github.com/haf/DotNetZip.Semverd
Product
https://github.com/haf/DotNetZip.Semverd/blob/e487179b33a9a0f2631eed5fb04d2c952ea5377a/src/Zip.Shared/ZipEntry.Extract.cs#L1365-L1410
Product
https://www.nuget.org/packages/DotNetZip/
Product

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:mihula:prodotnetzip:*:*:*:*:*:*:*:*

Версия до 1.19.0 (исключая)

Конфигурация 2

cpe:2.3:a:dotnetzip.semverd_project:dotnetzip.semverd:*:*:*:*:*:*:*:*

Версия от 1.10.1 (включая) до 1.16.0 (включая)

EPSS

Процентиль: 79%

0.01249

Низкий

9.8 Critical

CVSS3

9.1 Critical

CVSS3

Дефекты

CWE-22

Связанные уязвимости

GHSA-xhg6-9j5j-w4vf

CVSS3: 9.8

github

около 1 года назад

DotNetZip Directory Traversal vulnerability

BDU:2026-00104

CVSS3: 9.8

fstec

около 1 года назад

Уязвимость библиотеки для работы с zip-файлами DotNetZip, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 79%

0.01249

Низкий

9.8 Critical

CVSS3

9.1 Critical

CVSS3

Дефекты

CWE-22