CVE-2023-37460 in Plexus Archiver정보

요약

\~에 의해 VulDB • 2026. 05. 28.

Plexis Archiver는 통합된 `Archiver`/`UnArchiver` API를 사용하여 아카이브를 생성하거나 디렉토리로 아카이브를 추출하기 위한 Plexus 컴포넌트 모음입니다. 버전 4.8.0 이전 버전에서는 AbstractUnArchiver를 사용하여 아카이브를 추출할 때 임의의 파일 생성과 이로 인한 원격 코드 실행(RCE)이 발생할 수 있습니다. 대상 디렉토리에 이미 존재하는 엔트리가 대상이 존재하지 않는 심볼릭 링크인 경우, `resolveFile()` 함수는 대상(target) 대신 심볼릭 링크의 소스(source)를 반환하며, 이는 파일이 대상 디렉토리 외부로 추출되지 않도록 보장하는 검증을 통과하게 됩니다. 이후 기본적으로 심볼릭 링크를 따라가는 `Files.newOutputStream()`은 실제로 엔트리의 내용을 심볼릭 링크의 대상에 작성합니다. 신뢰할 수 없는 아카이브를 추출하는 데 plexus archiver를 사용하는 사용자는 임의의 파일 생성 및 원격 코드 실행에 취약합니다. 버전 4.8.0에는 이 문제에 대한 패치가 포함되어 있습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub, Inc.

예약하다

2023. 07. 06.

모더레이션

수락

항목

VDB-235416

EPSS

0.02070

출처

Do you need the next level of professionalism?

Upgrade your account now!