CVE-2023-37460 in Plexus Archiver
요약
\~에 의해 VulDB • 2026. 05. 28.
Plexis Archiver는 통합된 `Archiver`/`UnArchiver` API를 사용하여 아카이브를 생성하거나 디렉토리로 아카이브를 추출하기 위한 Plexus 컴포넌트 모음입니다. 버전 4.8.0 이전 버전에서는 AbstractUnArchiver를 사용하여 아카이브를 추출할 때 임의의 파일 생성과 이로 인한 원격 코드 실행(RCE)이 발생할 수 있습니다. 대상 디렉토리에 이미 존재하는 엔트리가 대상이 존재하지 않는 심볼릭 링크인 경우, `resolveFile()` 함수는 대상(target) 대신 심볼릭 링크의 소스(source)를 반환하며, 이는 파일이 대상 디렉토리 외부로 추출되지 않도록 보장하는 검증을 통과하게 됩니다. 이후 기본적으로 심볼릭 링크를 따라가는 `Files.newOutputStream()`은 실제로 엔트리의 내용을 심볼릭 링크의 대상에 작성합니다. 신뢰할 수 없는 아카이브를 추출하는 데 plexus archiver를 사용하는 사용자는 임의의 파일 생성 및 원격 코드 실행에 취약합니다. 버전 4.8.0에는 이 문제에 대한 패치가 포함되어 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.