Se ha detectado la posibilidad de sobreescribir archivos arbitrarios, que suele permitir ejecutar código arbitrario, en múltiples proyectos software de envergadura
Sobreescritura de archivos arbitrarios al descomprimir un archivo conteniendo nombres de archivo que escalan directorios. Eso es todo. Pero ya sabemos que cualquier cosa vende más con un nombre pegadizo y un logo bonito. En este caso, los responsables de localizar esta vieja vulnerabilidad en múltiples proyectos importantes fueron los componentes del equipo de seguridad de Snyk, una empresa dedicada a encontrar y arreglar vulnerabilidades en dependencias software.
Técnicamente, la vulnerabilidad no es ninguna obra maestra, ni siquiera es nueva. Tiene gracia buscar 'zip directory traversal' en Google y encontrarse como primer resultado un repositorio de GitHub que permite generar un archivo para explotar esta vulnerabilidad. Actualizado por última vez hace 7 años. Y cuya descripción reza así (traducida del inglés):
LEER MAS: https://unaaldia.hispasec.com/2018/06/zip-slip-oportuno-rebranding-de-una.html