[研究]DotNetZip 1.16.0有 CVE-2024-48510 弱點
2024-12-13
DotNetZip 最新1.16.0 (2021/11/16),NVD顯示沒有弱點,但 DotNetZip 官方顯示1.16.0已被發現弱點,並說明已被棄用,不再維護,建議改用System.IO.Compression
NVD顯示DotNetZip最後有弱點版本是1.11.0 (1.16.0尚未收錄進去)
https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&keyword=DotNetZip
DotNetZip官方顯示1.16.0已經有弱點
https://www.nuget.org/packages/dotnetzip
https://github.com/advisories/GHSA-xhg6-9j5j-w4vf
https://nvd.nist.gov/vuln/detail/CVE-2024-48510
DotNetZip官方建議改用System.IO.Compression
https://github.com/haf/DotNetZip.Semverd
Click圖片可以看100%原始尺寸
敝人實測 System.IO.Compression 上無法100%完全取代 DotNetZip,這要看你使用的功能而定。
(完)
沒有留言:
張貼留言