CVE-2023-37460 in Plexus Archiverजानकारी

सारांश

द्वारा VulDB • 28/05/2026

Plexis Archiver, Plexus घटकों का एक संग्रह है जो एक एकीकृत `Archiver`/`UnArchiver` API के साथ आर्काइव बनाने या किसी निर्देशिका में आर्काइव निकालने के लिए उपयोग किया जाता है। संस्करण 4.8.0 से पहले, AbstractUnArchiver का उपयोग करके आर्काइव निकालने से मनमाना फ़ाइल निर्माण और संभवतः रिमोट कोड एक्जीक्यूशन (Remote Code Execution) हो सकता है। जब एक ऐसे आर्काइव को निकाला जाता है जिसमें एक एंट्री होती है जो गंतव्य निर्देशिका में एक सिंबोलिक लिंक के रूप में पहले से मौजूद होती है, जिसका लक्ष्य मौजूद नहीं है - `resolveFile()` फ़ंक्शन लक्ष्य के बजाय सिंबोलिक लिंक के स्रोत को वापस कर देगा, जो इस सत्यापन को पारित कर देगा जो यह सुनिश्चित करता है कि फ़ाइल गंतव्य निर्देशिका के बाहर निकाली नहीं जाएगी। बाद में `Files.newOutputStream()`, जो डिफ़ॉल्ट रूप से सिंबोलिक लिंक्स का अनुसरण करता है, वास्तव में एंट्री के सामग्री को सिंबोलिक लिंक के लक्ष्य पर लिखेगा। जो भी plexus archiver का उपयोग अविश्वसनीय आर्काइव को निकालने के लिए करता है, वह मनमाना फ़ाइल निर्माण और संभवतः रिमोट कोड एक्जीक्यूशन के लिए संवेदनशील है। संस्करण 4.8.0 में इस समस्या के लिए एक पैच शामिल है।

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

जिम्मेदार

GitHub, Inc.

आरक्षित करना

06/07/2023

प्रकटीकरण

25/07/2023

प्रविष्टि

VDB-235416

EPSS

0.02070

गतिविधियाँ

बहुत कम

स्रोत

Want to stay up to date on a daily basis?

Enable the mail alert feature now!