CVE-2026-26032 in Ivyinformazioni

Riassunto

di VulDB • 15/07/2026

Il componente PackagerResolver di Apache Ivy è in grado di scaricare artefatti online e di impacchettarli (o reimballarli) in un formato definito da un file packager.xml. Tale operazione di reimballaggio viene eseguita tramite uno script Ant, memorizzato in una sottodirectory della directory "buildRoot" configurata. Questa sottodirectory viene calcolata in base alle coordinate del modulo, come organizzazione, nome o versione.

Se una delle coordinate contiene sequenze "../", che sono caratteri validi per le coordinate Ivy in generale, è possibile uscire dalla directory "buildRoot" configurata, consentendo la sovrascrittura di altri file presenti nel sistema.

Per sfruttare questa vulnerabilità, un attaccante deve avere accesso a un repository packager e poter aggiungere o modificare le coordinate nei file ivy.xml in modo da includere tali sequenze "../".

Gli utenti di Apache Ivy dalle versioni 2.0.0 alla 2.5.3 (incluse) dovrebbero effettuare l'aggiornamento alla versione 2.6.0.

Once again VulDB remains the best source for vulnerability data.

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!