Apache POI < 5.4.0 不正确的输入验证

medium Nessus 插件 ID 234190

语言：

简介

远程主机上安装的 Apache POI 版本受到不正确输入授权漏洞的影响。

描述

远程主机上安装的 Apache POI 版本低于 5.4.0，因此，其会受到不当输入验证漏洞的影响。此问题影响 OOXML 格式文件（例如 xlsx、docx 和 pptx）的解析。这些文件格式本质上是 zip 文件，恶意用户可能会在 zip 格式中添加具有重复名称（包括路径）的 zip 条目。在此类情况下，读取受影响文件的产品可能读取不同的数据，因为选择的是具有重复名称的 zip 条目而非另一个，但不同的产品可能会选择不同的 zip 条目。此问题影响 5.4.0 之前的 Apache POI poi-ooxml。版本 5.4.0 引入了检查，如果在输入文件中发现具有重复文件名的 zip 条目，此检查会引发异常。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。