CVE-2026-26032 in Ivy情報

要約

〜によって VulDB • 2026年07月15日

Apache IvyのPackagerResolverは、オンラインアーティファクトをダウンロードし、packager.xmlファイルで定義された形式に(再)パッケージ化することができます。この再パッケージング処理は、「buildRoot」ディレクトリのサブディレクトリに格納されているAntスクリプトによって実行されます。このサブディレクトリは、組織名や名前、バージョンなどのモジュール座標に基づいて計算されます。

これらの座標のいずれかに「../」というシーケンスが含まれている場合(Ivy座標では一般的に有効な文字です)、設定された「buildRoot」ディレクトリから脱出し、他のファイルを上書きすることが可能になります。

この脆弱性を悪用するには、攻撃者はpackagerリポジトリへのアクセス権を持ち、ivy.xmlファイルの座標を追加または変更して、「../」シーケンスを含める必要があります。

Apache Ivy 2.0.0 から 2.5.3(両端を含む)を使用しているユーザーは、Ivy 2.6.0にアップグレードしてください。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

モデレーション

承諾済み

エントリ

VDB-379324

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!