CVE-2023-24815 in Vert.x-Webالمعلومات

الملخص

بحسب VulDB • 09/05/2026

يُعد Vert.x-Web مجموعة من المكونات الأساسية لبناء تطبيقات الويب بلغة البرمجة Java. عند تشغيل تطبيقات ويب تعمل باستخدام `StaticHandler` لتقديم الملفات على أنظمة تشغيل Windows وأنظمة ملفات Windows، إذا كان نقطة التثبيت (mount point) عبارة عن رمز بدل (wildcard) (`*`)، فيمكن للمهاجم استخراج أي مورد موجود في مسار الفئة (classpath). عند حساب المسار النسبي لتحديد موقع المورد، في حالة الرموز البدلة، تُعيد الشفرة: `return "/" + rest;` الموجودة في `Utils.java` مدخلات المستخدم (دون التحقق منها) كجزء من المسار للبحث عنه. وعلى الرغم من إجراء فحوصات لتجنب الخروج من البيئة المعزولة (sandbox)، نظرًا لعدم تنقية المدخلات، لا يتم التعامل مع الأحرف `\` بشكل صحيح، مما يتيح للمهاجم بناء مسار صالح ضمن مسار الفئة. تؤثر هذه المشكلة فقط على المستخدمين الذين ينشرون التطبيقات في بيئات Windows، ويُعد الترقية مسار الإصلاح الموصى به. لا توجد حلول بديلة معروفة لهذه الثغرة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub, Inc.

حجز

30/01/2023

إفشاء

09/02/2023

الاعتدال

تمت الموافقة

إدخال

VDB-220496

EPSS

0.00919

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!