CVE-2018-1002202

Опубликовано: 05 июн. 2018

Источник: redhat

CVSS3: 6.3

EPSS Низкий

Описание

zip4j before 1.3.3 is vulnerable to directory traversal, allowing attackers to write to arbitrary files via a ../ (dot dot slash) in a Zip archive entry that is mishandled during extraction. This vulnerability is also known as 'Zip-Slip'.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
JBoss Developer Studio 11	zip4j	Not affected
Red Hat JBoss Data Virtualization 6	zip4j	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-20

https://bugzilla.redhat.com/show_bug.cgi?id=1584409zip4j: arbitrary file write vulnerability / arbitrary code execution using a specially crafted zip file

EPSS

Процентиль: 88%

0.0372

Низкий

6.3 Medium

CVSS3

Связанные уязвимости

CVE-2018-1002202

CVSS3: 6.5

nvd

больше 7 лет назад

CVE-2018-1002202

CVSS3: 6.5

debian

больше 7 лет назад

zip4j before 1.3.3 is vulnerable to directory traversal, allowing atta ...

GHSA-2rpm-4x8c-pvqg

CVSS3: 6.5

github

больше 3 лет назад

Improper Limitation of a Pathname to a Restricted Directory in Zip4j

BDU:2018-00939

CVSS3: 6.3

fstec

больше 7 лет назад

Уязвимость функции extractDir библиотеки для работы с zip-файлами Zip4j, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 88%

0.0372

Низкий

6.3 Medium

CVSS3