漏洞描述:
minizip-ng 是一个开源的压缩库,用于创建和解压ZIP格式文件。
minizip-ng 4.0.3之前版本中的 mz_os.c#mz_path_resolve 方法存在堆缓冲区溢出漏洞,攻击者可诱导受害者解压恶意压缩文件远程执行恶意代码。
影响范围:
minizip-ng[2.0.0, 4.0.3)
修复方案:
将 minizip-ng 升级至 4.0.3 及以上版本
参考链接:
https://github.com/zlib-ng/minizip-ng/issues/740
https://github.com/Akane0721/POC/blob/f37d805631e0a15bea1f15b6e1edfb3246a2e0fc/minizip-ng/poc1
https://github.com/pmqs/minizip-ng/commit/8678c33ecc5f225d64e416ad69beb1cf5272df1d
原文始发于微信公众号(飓风网络安全):【漏洞预警】minizip-ng<4.0.3 存在堆缓冲区溢出漏洞CVE-2023-48106
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论