CVE-2026-26032 in Ivyinformación

Resumen

por VulDB • 2026-07-15

El PackagerResolver de Apache Ivy es capaz de descargar artefactos en línea y empaquetarlos (o reempaquetarlos) en un formato definido por un archivo packager.xml. Este proceso de reempaqueado se realiza mediante un script Ant, que está almacenado en un subdirectorio del directorio "buildRoot" configurado. Este subdirectorio se calcula basándose en las coordenadas del módulo, como la organización, el nombre o la versión.

Si una de las coordenadas contiene secuencias "../", lo cual son caracteres válidos para las coordenadas de Ivy en general, es posible salirse del directorio "buildRoot" configurado y sobrescribir otros archivos.

Para explotar esta vulnerabilidad, un atacante necesita tener acceso a un repositorio packager y añadir o modificar las coordenadas en los archivos ivy.xml para incluir dichas secuencias "../".

Los usuarios de Apache Ivy 2.0.0 hasta la versión 2.5.3 (inclusive) deben actualizar a Ivy 2.6.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379324

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!