CVE-2022-39345

Versões do Gin-vue-admin anteriores à 2.5.4

O Gin-vue-admin é um sistema de gerenciamento de back-end baseado em Vue e Gin. O sistema está vulnerável a ataques de traversal de caminho, o que leva a vulnerabilidades relacionadas ao upload de arquivos. Essa vulnerabilidade permite que invasores mal-intencionados enviem ou sobrescrevam arquivos arbitrários no lado do servidor, criando um pacote zip com nomes de arquivo ../../../../, explorando a vulnerabilidade Zip Slip. O método utils.Unzip é chamado após o envio de um arquivo compactado em zip e descompacta o arquivo sem validar suficientemente seu conteúdo, permitindo a traversal de diretórios durante a descompactação automática.

Para versões do Gin-vue-admin anteriores à 2.5.4, atualize para a versão 2.5.4 ou posterior, pois ela contém um patch para este problema. Não há soluções alternativas além da atualização para uma versão corrigida. Como solução temporária, considere restringir o acesso à função de instalação do plugin para minimizar o risco de exploração.