Тему открыл с целью обезопасить участников форума,т.к большинство хранит важную информацию в архивах.
Согласно докладу Snyk, для работы уязвимости необходим специально созданный архив с особенными файлами внутри. Они должны содержать название с «подменой директории», например, ../../evil.sh. Такие файлы пробираются вверх по дереву каталогов, пока не достигнут корня. С помощью них злоумышленник может переписать или повредить ключевые файлы ОС путем удаленного запуска кода или встраивания вредоносного ПО.
Проблема заключается в реализации процесса распаковки архивов и позволяет распаковать архив за пределами базового каталога и переписать важные файлы, такие как системные библиотеки, конфигурационные файлы и пр. Уязвимость затрагивает различные форматы, включая tar, jar, war, cpio, apk, rar и 7z.
Кроме специально созданного файла, для работы уязвимости необходим скрипт, который пропускает проверку подлинности на пути к файлу в архиве.
Скрипт судя по всему выполняется при помощи Java аплета.
Так что обезопасьте себя - если нет необходимости запретите выполнение Java В настройках браузера (возможно повторрю но дополнительно обращу внимание что Internet Explorer и Edge единственные браузеры которые могут выполнить Java script в системной области).
Взято отсюда
https://www.securitylab.ru/news/493771.php и отсюда
https://tproger.ru/news/zip-slip-vulnerability/Дополнено мной.
