关键信息 漏洞编号: Bug 2264106 (CVE-2024-1485) 漏洞描述: 的 decompress 功能可以通过相对路径删除范围外的文件 报告时间: 2024-02-13 21:58 UTC 报告人: Nick Tait 修改时间: 2024-09-09 19:17 UTC 关键字: Security 状态: NEW 产品: Security Response 组件: vulnerability 版本: unspecified 硬件: All 操作系统: Linux 优先级: high 严重性: high 修复提交: https://github.com/devfile/registry-support/commit/0e44b9ca6d03fac4fc3f77d37656d56dc5defe0d 受影响代码: https://github.com/devfile/registry-support 漏洞细节: - 该漏洞影响 的 decompress 功能,当从 .tar 文件解压存档文件时,文件路径不能正确地限制在目标目录内,导致攻击者可能通过替换包含相对路径的 .tar 文件,覆盖任意文件。