CVE-2023-37460 in Plexus Archiver
الملخص
بحسب VulDB • 07/06/2026
Plexis Archiver هو مجموعة من مكونات Plexus لإنشاء أرشيفات أو استخراجها إلى دليل باستخدام واجهة برمجة تطبيقات موحدة `Archiver`/`UnArchiver`. قبل الإصدار 4.8.0، قد يؤدي استخدام AbstractUnArchiver لاستخراج الأرشيف إلى إنشاء ملف تعسفي وربما تنفيذ كود عن بُعد (RCE). عند استخراج أرشيف يحتوي على عنصر موجود بالفعل في دليل الوجهة كرابط رمزي لا يشير الهدف إليه - ستعيد الدالة `resolveFile()` مصدر الرابط الرمزي بدلاً من هدفه، مما يتجاوز التحقق الذي يضمن عدم استخراج الملف خارج دليل الوجهة. لاحقاً، تقوم `Files.newOutputStream()`، التي تتبع الروابط الرمزية بشكل افتراضي، بكتابة محتوى العنصر فعلياً إلى هدف الرابط الرمزي. أي شخص يستخدم Plexus Archiver لاستخراج أرشيف غير موثوق به يكون عرضة لإنشاء ملف تعسفي وربما تنفيذ كود عن بُعد (RCE). يحتوي الإصدار 4.8.0 على تصحيح لهذه المشكلة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.