Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
WinRAR
(3.00.0.0, 5.70.1.0)
Описание
Функция проверки (в коде WinRAR) вызывается перед распаковкой ACE-архива. Она проверяет поле filename (имя файла) для каждого сжатого файла в ACE-архиве. Если имя файла запрещено функцией (например, имя файла содержит характерные признаки подмены пути), то операция извлечения завершается для всех файлов и папок. Однако, проверка значения, возвращаемого функцией, проводится слишком поздно (в UNACEV2.dll), уже после создания файлов и папок. Подобное действие предотвращает запись только в извлеченные файлы.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.rarlab.com/
https://www.rarlab.com/
Ссылки
Источник: CVE
Наименование: CVE-2018-20251
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20251
Наименование: CVE-2018-20251
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20251