Snyk、アーカイブファイルの展開処理に脆弱性を確認
アーカイブファイルの展開処理に脆弱性が存在することがSnyk により確認された。同社によると、アーカイブファイルにファイル名に特定の文字列を含んだファイルを入れて処理することにより特定の場所にファイルを展開させることが可能になる。同社はこの脆弱性をZip Slipと名付けた。この脆弱性が悪用されるとリモートから上書きや設定ファイルの書き換えが可能となり、任意のコードが実行される恐れがある。このZip Slipの脆弱性はJavaScript、Ruby、.NET、Goなどで開発された環境で影響を受ける。更に、「tar」「jar」「war」「cpio」「apk」「rar」「7z」などのアーカイブフォーマットも影響を受ける。SnykはZip Slipの脆弱性があるコードを使っているか確認して脆弱性を修正したバージョンのライブラリを使用するよう呼び掛けている。
