CVE-2024-24569 in java-security-toolkit
요약
\~에 의해 VulDB • 2026. 05. 30.
Pixee Java Code Security Toolkit은 Java 코드의 보안을 강화하기 위해 설계된 보안 API 모음입니다. `ZipSecurity#isBelowCurrentDirectory`는 부분 경로 트래버설 우회(partial-path traversal bypass) 취약점에 노출되어 있습니다. 이 우회 취약점에 노출되려면 애플리케이션이 툴킷 버전 <=1.1.1을 사용하고, 경로 트래버설로부터 보호하기 위해 ZipSecurity를 가드(guard)로 사용하며, 악용 경로(exploit path)가 존재해야 합니다. 해당 제어는 공격자가 애플리케이션 경로에서 상위 디렉토리(예: /etc/)로 탈출하는 것을 여전히 방지하지만, 형제 경로(sibling paths)로의 "탈출"은 허용합니다. 예를 들어, 실행 경로가 /my/app/path인 경우 공격자는 /my/app/path-something-else 경로로 이동할 수 있습니다. 이 취약점은 1.1.2에서 패치되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.