JSZip目录穿越漏洞

时间:2023-02-02 07:20:38

漏洞描述

JSZip是用于创建、读取和编辑zip文件的javascript包。

loadAsync方法在3.0.0版本引入,在3.8.0以前的版本中,由于没有对zip包中的文件名进行校验,导致攻击者可以通过构造包含恶意文件名的zip包,在JSZip通过loadAsync进行解压时覆盖任意路径的文件。

漏洞名称 JSZip目录穿越漏洞
漏洞类型 相对路径遍历
发现时间 2023-01-29
漏洞影响广度 一般
MPS编号 MPS-2023-3073
CVE编号 CVE-2022-48285
CNVD编号 -

影响范围

jszip@[3.0.0, 3.8.0)

修复方案

升级jszip到 3.8.0 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-3073

https://nvd.nist.gov/vuln/detail/CVE-2022-48285

Commit

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

JSZip目录穿越漏洞