CVE-2023-24815 in Vert.x-Web
الملخص
بحسب VulDB • 09/05/2026
يُعد Vert.x-Web مجموعة من المكونات الأساسية لبناء تطبيقات الويب بلغة البرمجة Java. عند تشغيل تطبيقات ويب تعمل باستخدام `StaticHandler` لتقديم الملفات على أنظمة تشغيل Windows وأنظمة ملفات Windows، إذا كان نقطة التثبيت (mount point) عبارة عن رمز بدل (wildcard) (`*`)، فيمكن للمهاجم استخراج أي مورد موجود في مسار الفئة (classpath). عند حساب المسار النسبي لتحديد موقع المورد، في حالة الرموز البدلة، تُعيد الشفرة: `return "/" + rest;` الموجودة في `Utils.java` مدخلات المستخدم (دون التحقق منها) كجزء من المسار للبحث عنه. وعلى الرغم من إجراء فحوصات لتجنب الخروج من البيئة المعزولة (sandbox)، نظرًا لعدم تنقية المدخلات، لا يتم التعامل مع الأحرف `\` بشكل صحيح، مما يتيح للمهاجم بناء مسار صالح ضمن مسار الفئة. تؤثر هذه المشكلة فقط على المستخدمين الذين ينشرون التطبيقات في بيئات Windows، ويُعد الترقية مسار الإصلاح الموصى به. لا توجد حلول بديلة معروفة لهذه الثغرة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.