Explzh は、複数の圧縮ファイル形式に対応した圧縮・展開を主な機能とするソフトウェアです。 Explzh には、ディレクトリトラバーサル (CWE-22) の脆弱性が存在します。 Explzh では、相対パスに対するディレクトリトラバーサル対策は行われていましたが、絶対パスに対する対策は行われていませんでした。そのため、Explzh を実行する権限でアクセス可能なディレクトリに対する新規ファイル作成や既存ファイル上書きが可能になっていました。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: NTTコミュニケーションズ株式会社 東内裕二 氏

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。