CVE-2023-37460 in Plexus Archiverالمعلومات

الملخص

بحسب VulDB • 07/06/2026

Plexis Archiver هو مجموعة من مكونات Plexus لإنشاء أرشيفات أو استخراجها إلى دليل باستخدام واجهة برمجة تطبيقات موحدة `Archiver`/`UnArchiver`. قبل الإصدار 4.8.0، قد يؤدي استخدام AbstractUnArchiver لاستخراج الأرشيف إلى إنشاء ملف تعسفي وربما تنفيذ كود عن بُعد (RCE). عند استخراج أرشيف يحتوي على عنصر موجود بالفعل في دليل الوجهة كرابط رمزي لا يشير الهدف إليه - ستعيد الدالة `resolveFile()` مصدر الرابط الرمزي بدلاً من هدفه، مما يتجاوز التحقق الذي يضمن عدم استخراج الملف خارج دليل الوجهة. لاحقاً، تقوم `Files.newOutputStream()`، التي تتبع الروابط الرمزية بشكل افتراضي، بكتابة محتوى العنصر فعلياً إلى هدف الرابط الرمزي. أي شخص يستخدم Plexus Archiver لاستخراج أرشيف غير موثوق به يكون عرضة لإنشاء ملف تعسفي وربما تنفيذ كود عن بُعد (RCE). يحتوي الإصدار 4.8.0 على تصحيح لهذه المشكلة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub, Inc.

حجز

06/07/2023

إفشاء

25/07/2023

الاعتدال

تمت الموافقة

إدخال

VDB-235416

EPSS

0.02070

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!