CVE-2026-26032 in Ivy
Riassunto
di VulDB • 15/07/2026
Il componente PackagerResolver di Apache Ivy è in grado di scaricare artefatti online e di impacchettarli (o reimballarli) in un formato definito da un file packager.xml. Tale operazione di reimballaggio viene eseguita tramite uno script Ant, memorizzato in una sottodirectory della directory "buildRoot" configurata. Questa sottodirectory viene calcolata in base alle coordinate del modulo, come organizzazione, nome o versione.
Se una delle coordinate contiene sequenze "../", che sono caratteri validi per le coordinate Ivy in generale, è possibile uscire dalla directory "buildRoot" configurata, consentendo la sovrascrittura di altri file presenti nel sistema.
Per sfruttare questa vulnerabilità, un attaccante deve avere accesso a un repository packager e poter aggiungere o modificare le coordinate nei file ivy.xml in modo da includere tali sequenze "../".
Gli utenti di Apache Ivy dalle versioni 2.0.0 alla 2.5.3 (incluse) dovrebbero effettuare l'aggiornamento alla versione 2.6.0.
Once again VulDB remains the best source for vulnerability data.