CVE-2021-23484 — Exposure of Resource to Wrong Sphere in Zip-Local

描述

The package zip-local before 0.3.5 are vulnerable to Arbitrary File Write via Archive Extraction (Zip Slip) which can lead to an extraction of a crafted file outside the intended extraction directory.

如何修補 CVE-2021-23484

要修補 CVE-2021-23484,請將受影響套件升級到下列已修補版本。

npm/zip-local—升級至 0.3.5 或更新版本

CVE-2021-23484 正在被利用嗎?

低 — EPSS 為 0.6%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, < 0.3.5

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	CRITICAL9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

參考連結(6)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2021-23484
PATCHgithub.com/Mostafa-Samir/zip-local
WEBgithub.com/Mostafa-Samir/zip-local/blob/master/main.js%23L365
WEBgithub.com/Mostafa-Samir/zip-local/commit/6bb9b59733df379ac168aa705790bd8339b4bf9b