Есть ли уязвимости в чтении архивов?

Question

[Zodtv]

Существует проект в котором пользователи могут залить свои архивы.
Архивы читаются кодом, предоставленным ниже.
Возможно ли запустить скрипт, или эксплуатировать любую другую уязвимость? И какие методы защиты необходимо применять?

Comments

[d'Ivan]

1. код повторяется
   
2. данным кодом не учитываются расширения Rar, RAR, ZIP, Zip
   

Answer 1

[d-stream]

Навскидку
1. zip-bomb https://ru.wikipedia.org/wiki/Zip-бомба
2. вариации автозапуска (в свое время были такие фичи в WinRAR)

Comments

[devalone]

также стоит валидировать имя файла(лучше генерить и хранить в базе соответствие сгенеренное-загруженное пользователем), ну и делать все подобные операции в контейнере, оверхед небольшой, но зато безопасность