Zip Slip возвращается в Node.js
Не так давно, в 2018 году, прогремел хорошо забытый новый вид атак — Zip Slip.
Zip Slip является широко распространенной критической уязвимостью распаковки архивов, позволяющей злоумышленникам записывать произвольные файлы в систему, что обычно приводит к удаленному выполнению команд. Она была обнаружена и раскрыта командой Snyk Security в преддверии публичного разглашения — 5 июня 2018 года и затронула тысячи проектов, в том числе HP, Amazon, Apache, Pivotal и многие другие.
Дополнительную информацию о технических подробностях Zip Slip можно найти на сайте.
С тех пор большинство фреймворков и языков, в которых были обнаружены эти уязвимости, были исправлены, и об уязвимости давно не было слышно.
Но совсем недавно появился новый случай не менее интересный, чем предыдущие.
Zip Slip в популярной библиотеке для Node.js — «decompress».
Читать дальше →
Zip Slip является широко распространенной критической уязвимостью распаковки архивов, позволяющей злоумышленникам записывать произвольные файлы в систему, что обычно приводит к удаленному выполнению команд. Она была обнаружена и раскрыта командой Snyk Security в преддверии публичного разглашения — 5 июня 2018 года и затронула тысячи проектов, в том числе HP, Amazon, Apache, Pivotal и многие другие.
Дополнительную информацию о технических подробностях Zip Slip можно найти на сайте.
С тех пор большинство фреймворков и языков, в которых были обнаружены эти уязвимости, были исправлены, и об уязвимости давно не было слышно.
Но совсем недавно появился новый случай не менее интересный, чем предыдущие.
Zip Slip в популярной библиотеке для Node.js — «decompress».
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Как я пилотировала Kaspersky NGFW и что из этого вышло
- Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании
- Миллион IP против одного GPT-5: история одной DDoS-атаки
- Опыт цифровизации службы безопасности банка. Единая IT-экосистема на базе BPMS
- Сервис DashaMail обновил функционал аннотаций в GMail
- Вредные советы по автоматизации
- Кем работать в IT в 2025: сетевой инженер в информационной безопасности
- [Перевод] Как найти исходный IP любого веб-сайта за WAF
- Приоритизация уязвимостей с EPSS в кибербезопасности
- Безопасность приложений: инструменты и практики для Java-разработчиков