通过构造的 ZIP 文件存在路径遍历漏洞 (Path Traversal) 在 github.com/mholt/archiver 中

该路径遍历漏洞允许攻击者绕过正常的访问控制机制，直接访问服务器文件系统中的敏感数据。攻击者可以利用此漏洞读取配置文件、源代码、数据库凭据等重要信息。如果服务器运行在公共环境中，或者与其他系统共享文件，该漏洞的潜在影响将更大，可能导致数据泄露、系统入侵甚至远程代码执行。攻击者可能利用此漏洞获取服务器的内部网络访问权限，从而进行进一步的攻击。

Applications and services that utilize the github.com/mholt/archiver Go library to process ZIP files are at risk. This includes applications that handle user-uploaded ZIP files or process ZIP archives from external sources. Go developers integrating this library into their projects should prioritize upgrading.

• go / supply-chain: Inspect dependencies for vulnerable versions of github.com/mholt/archiver. Use go list -m all and filter for versions < 3.0.1.

go list -m all | grep github.com/mholt/archiver | grep "< 3.0.1"

• generic web: Monitor web server access logs for requests containing suspicious ZIP file uploads with path traversal sequences (e.g., ../../../../etc/passwd). • generic web: Check for directory listings enabled on the server that could expose ZIP files.

1. 2025-08-05Disclosure

   disclosure

1. 已保留2025-04-08
2. 发布日期2025-08-05
3. 修改日期2026-02-04
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即升级至 github.com/mholt/archiver 3.0.1 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 ZIP 文件的上传和处理，对上传的文件进行严格的验证，确保 ZIP 文件不包含恶意路径。可以使用 Web 应用防火墙 (WAF) 来检测和阻止包含恶意路径的 ZIP 文件。此外，建议定期审查服务器上的文件权限，确保只有授权用户才能访问敏感文件。