Vulnerabilità: CVE-2019-10743

Tutte le versioni di archiviazione permettono malintenzionato di eseguire un attacco di slittamento postale tramite le funzioni ""disarchiviare"". Si è sfruttata utilizzando un archivio zip appositamente predisposto, che contiene i nomi dei file del percorso di attraversamento. Quando sfruttato, un nome di file in un archivio dannoso viene concatenato alla directory di estrazione di destinazione, che si traduce nel percorso finale finendo al di fuori della cartella di destinazione. Per esempio, una zip può contenere un file con una posizione ""../../file.exe"", e quindi uscire dalla cartella di destinazione. Se un file di configurazione eseguibile o vengono sovrascritti con un file contenente codice maligno, il problema può trasformarsi in un problema esecuzione di codice arbitrario abbastanza facilmente.


https://github.com/mholt/archiver/pull/169
https://snyk.io/research/zip-slip-vulnerability
https://snyk.io/vuln/SNYK-GOLANG-GITHUBCOMMHOLTARCHIVERCMDARC-174728
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10743


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi