关键信息总结 漏洞类型 Zip Slip - 该漏洞允许攻击者通过特制的压缩包文件在解压缩过程中覆盖任意文件,可能导致系统文件被篡改。 --- 漏洞修复关键点 修复文件路径校验 - SecureJoin 方法的引入,用于确保解压路径的安全,防止路径穿越攻击。 错误处理增强 - 强化了错误处理逻辑,避免因非法路径导致的潜在风险。 路径校验逻辑 - 在多个解压缩函数中增加了对文件路径的安全性检查,确保路径不包含危险字符或符号。 --- 涉及文件与代码变更 文件路径变更文件 - - - - - - 文件变更统计 - 7 files changed, +310 -88 lines of code --- 关键函数与方法 SecureJoin - 用于安全地构建输出路径,防止路径穿越。 ErrArchiveIllegalPath - 定义非法路径错误,用于标识存在风险的文件路径。 DecompressFromFolderTraversal - 增强了文件解压缩逻辑,处理复杂路径情况并防止目录遍历攻击。 --- 其他信息 Commit 信息: - Commit ID: - 作者: - 日期: yesterday