CVE-2021-22114
https://notcve.org/view.php?id=CVE-2021-22114
Addresses partial fix in CVE-2018-1263. Spring-integration-zip, versions prior to 1.0.4, exposes an arbitrary file write vulnerability, that can be achieved using a specially crafted zip archive (affects other archives as well, bzip2, tar, xz, war, cpio, 7z), that holds path traversal filenames. So when the filename gets concatenated to the target extraction directory, the final path ends up outside of the target folder. Aborda la corrección parcial en el CVE-2018-1263. Spring-integration-zip, versiones anteriores a 1.0.4, expone una vulnerabilidad de escritura de archivo arbitraria, que puede ser lograda usando un archivo zip especialmente diseñado (también afecta a otros archivos, bzip2, tar, xz, war, cpio, 7z), que contiene nombres de archivo de salto de ruta. • https://tanzu.vmware.com/security/cve-2021-22114 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2018-1263
https://notcve.org/view.php?id=CVE-2018-1263
Addresses partial fix in CVE-2018-1261. Pivotal spring-integration-zip, versions prior to 1.0.2, exposes an arbitrary file write vulnerability, that can be achieved using a specially crafted zip archive (affects other archives as well, bzip2, tar, xz, war, cpio, 7z), that holds path traversal filenames. So when the filename gets concatenated to the target extraction directory, the final path ends up outside of the target folder. Aborda una solución incompleta en CVE-2018-1261. Pivotal spring-integration-zip en versiones anteriores a la 1.0.2 expone una vulnerabilidad de escritura de archivos arbitrarios, que puede lograrse empleando un archivo zip especialmente manipulado (afecta también a otros archivos, como bzip2, tar, xz, war, cpio o 7z) que contiene nombres de archivo de salto de directorio. • https://github.com/sakib570/CVE-2018-1263-Demo http://www.securityfocus.com/bid/104179 https://pivotal.io/security/cve-2018-1263 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2018-1261
https://notcve.org/view.php?id=CVE-2018-1261
Spring-integration-zip versions prior to 1.0.1 exposes an arbitrary file write vulnerability, which can be achieved using a specially crafted zip archive (affects other archives as well, bzip2, tar, xz, war, cpio, 7z) that holds path traversal filenames. So when the filename gets concatenated to the target extraction directory, the final path ends up outside of the target folder. Spring-integration-zip en versiones anteriores a la 1.0.1 expone una vulnerabilidad de escritura de archivos arbitrarios que puede lograrse empleando un archivo zip especialmente manipulado (afecta también a otros archivos, como bzip2, tar, xz, war, cpio o 7z) que contiene nombres de archivo de salto de directorio. Por lo tanto, cuando el nombre de archivo se concatena al directorio de extracción objetivo, la ruta final acaba fuera de la carpeta objetivo. • http://www.securityfocus.com/bid/104178 https://pivotal.io/security/cve-2018-1261 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •