CVE-2023-37460 in Plexus Archiverinfo

Zusammenfassung

von VulDB • 28.05.2026

Plexis Archiver ist eine Sammlung von Plexus-Komponenten zum Erstellen von Archiven oder zum Extrahieren von Archiven in ein Verzeichnis über eine einheitliche `Archiver`-/`UnArchiver`-API. Vor Version 4.8.0 kann die Verwendung von AbstractUnArchiver zum Extrahieren eines Archivs zu einer beliebigen Dateierstellung und möglicherweise zu Remote Code Execution (RCE) führen. Beim Extrahieren eines Archivs mit einem Eintrag, der im Zielverzeichnis bereits als symbolischer Link vorhanden ist, dessen Ziel jedoch nicht existiert, gibt die Funktion `resolveFile()` den Quellpfad des symbolischen Links anstelle seines Ziels zurück. Dies umgeht die Überprüfung, die sicherstellt, dass die Datei nicht außerhalb des Zielverzeichnisses extrahiert wird. Die nachfolgende Funktion `Files.newOutputStream()`, die standardmäßig symbolischen Links folgt, schreibt den Inhalt des Eintrags tatsächlich in das Ziel des symbolischen Links. Jeder, der Plexis Archiver zum Extrahieren eines nicht vertrauenswürdigen Archivs verwendet, ist anfällig für eine beliebige Dateierstellung und möglicherweise für Remote Code Execution (RCE). Version 4.8.0 enthält einen Patch für dieses Problem.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub, Inc.

Reservieren

06.07.2023

Veröffentlichung

25.07.2023

Moderieren

akzeptiert

Eintrag

VDB-235416

CPE

bereit

EPSS

0.02070

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!