发布日期：2025-03-17
更新日期：2025-06-03

受影响系统：

zip zip >= 1.3.0 < 2.3.0

描述：

---

CVE(CAN) ID: CVE-2025-29787

zip是zip-rs开源的一个Rust中的zip实现。
zip 1.3.0至2.3.0之前版本存在符号链接漏洞，该漏洞源于程序未正确最终规范化之路，攻击者可利用该漏洞通过特制的恶意压缩文件覆盖文件系统上的任意文件，从而执行代码。

<**>

建议：

---

厂商补丁：

zip
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://gist.github.com/eternal-flame-AD/bf71ef4f6828e741eb12ce7fd47b7b85

浏览次数：47
严重程度：0（网友投票）