SmartBear SoapUI unpackageAll漏洞CVE-2024-7565

SoapUI是SmartBear Software开发的一款基于Java的开源工具，因此可以在多种操作系统上运行，无论是Windows、Linux还是Mac OS。

SmartBear SoapUI是一款强大的Web服务测试工具，尤其在功能测试、性能测试和回归测试方面表现突出，开源且用户界面非常的直观。

一、基本情况

SoapUI成为Web服务测试领域主流工具，用户添加REST资源、创建请求并验证响应，支持GET、POST、PUT、DELETE等HTTP方法。

SmartBear SoapUI支持SOAP和REST类型的Web服务，使非技术测试人员也可轻松进行接口测试，而无需深入了解底层协议和接口细节。

栋科技漏洞库关注到SmartBear SoapUI中的unpackageAll目录遍历远程代码执行漏洞，该漏洞被追踪为CVE-2024-7565，CVSS评分7.8。

二、漏洞分析

CVE-2024-7565是SmartBear SoapUI中曝出的一个unpackageAll目录遍历远程代码执行漏洞，这一具体漏洞存在于unpackageAll函数中。

该漏洞源于在用户执行文件操作之前未对用户提供路径进行适当验证，允许远程攻击者在受影响SmartBear SoapUI安装上执行任意代码。

攻击者可以利用此漏洞在当前用户的上下文中执行代码，但攻击者如果要利用该漏洞，还需用户与目标恶意页面进行交互或打开恶意文件。

官方发布SmartBear SoapUI 5.7.2版本，修复与ZipSlip攻击（路径遍历）相关的漏洞，并通过删除对以前的软件质量API调查状态的引用。

三、影响范围

SmartBear SoapUI <= 5.7.0

四、修复建议

SmartBear SoapUI > 5.7.2

五、参考链接

https://www.soapui.org/downloads/latest-release/release-notes/