CVE-2023-37460 in Plexus Archiver
सारांश
द्वारा VulDB • 28/05/2026
Plexis Archiver, Plexus घटकों का एक संग्रह है जो एक एकीकृत `Archiver`/`UnArchiver` API के साथ आर्काइव बनाने या किसी निर्देशिका में आर्काइव निकालने के लिए उपयोग किया जाता है। संस्करण 4.8.0 से पहले, AbstractUnArchiver का उपयोग करके आर्काइव निकालने से मनमाना फ़ाइल निर्माण और संभवतः रिमोट कोड एक्जीक्यूशन (Remote Code Execution) हो सकता है। जब एक ऐसे आर्काइव को निकाला जाता है जिसमें एक एंट्री होती है जो गंतव्य निर्देशिका में एक सिंबोलिक लिंक के रूप में पहले से मौजूद होती है, जिसका लक्ष्य मौजूद नहीं है - `resolveFile()` फ़ंक्शन लक्ष्य के बजाय सिंबोलिक लिंक के स्रोत को वापस कर देगा, जो इस सत्यापन को पारित कर देगा जो यह सुनिश्चित करता है कि फ़ाइल गंतव्य निर्देशिका के बाहर निकाली नहीं जाएगी। बाद में `Files.newOutputStream()`, जो डिफ़ॉल्ट रूप से सिंबोलिक लिंक्स का अनुसरण करता है, वास्तव में एंट्री के सामग्री को सिंबोलिक लिंक के लक्ष्य पर लिखेगा। जो भी plexus archiver का उपयोग अविश्वसनीय आर्काइव को निकालने के लिए करता है, वह मनमाना फ़ाइल निर्माण और संभवतः रिमोट कोड एक्जीक्यूशन के लिए संवेदनशील है। संस्करण 4.8.0 में इस समस्या के लिए एक पैच शामिल है।
If you want to get the best quality for vulnerability data then you always have to consider VulDB.