安全测试
安全运营
安全应急
安全咨询
特色服务
安全测试
斗象各类安全测试服务通过利用白帽和自有安全服务人员,从多种视角使用多种黑白灰盒测试技术手段,对企业传统和物联网软硬件以及内部网络等进行深入评估和分析,帮助企业更好地理解其安全现状,优化安全策略,修补安全漏洞、提升整体安全防御能力。
可信安全众测
红队测试服务
Web应用安全测试
移动App安全测试
小程序/公众号安全测试
源代码安全审计
内网渗透与评估
固件安全分析
IoT安全测试
车联网安全测试与评估
客户成功案例
产品解决方案
服务解决方案
申请试用
返回
详细信息
漏洞信息
影响产品
解决方案
漏洞描述
WIDOCO是一个用于记录本体的向导。帮助您通过在GUI中执行一系列步骤,自动发布和创建一个丰富的、定制的本体文档。WIDOCO在1.4.17版本之前存在Zip-Slip漏洞,漏洞点在src/main/java/widoco/WidocoUtils.java文件中,通过unZipIt函数可以将zip包中的文件写入到任意可写入的文件夹中,这将影响服务器的完整性。
漏洞危害
攻击者利用该漏洞可以将恶意压缩文件提供给用户下载并解压缩,就可以在系统上植入恶意软件或其他恶意代码,并对系统造成潜在的危害。
参考链接
CVE-2022-4772:https://nvd.nist.gov/vuln/detail/CVE-2022-4772
CNNVD-202212-4032:http://123.124.177.30/web/xxk/ldxqById.tag?CNNVD=CNNVD-202212-4032
advisory-database · GitHub:https://vuldb.com/?id.216914
advisory-database · GitHub:https://vuldb.com/?ctiid.216914
advisory-database · GitHub:https://github.com/dgarijo/Widoco
TVPR 关键指标
5.6
时间轴
- 2022-12-27 23:15:00斗象应急响应团队对外发布安全通告
400-156-9866
7 x 24 小时电话咨询
扫一扫订阅