CVE-2023-37460 in Plexus Archiver
Сводка
по VulDB • 28.05.2026
Plexis Archiver представляет собой набор компонентов Plexus для создания архивов или извлечения содержимого архивов в каталог с использованием унифицированного API `Archiver`/`UnArchiver`. До версии 4.8.0 использование `AbstractUnArchiver` для извлечения архива могло приводить к созданию произвольных файлов и, возможно, к удаленному выполнению кода (RCE). При извлечении архива, содержащего запись, которая уже существует в целевом каталоге в виде символической ссылки, цель которой не существует, функция `resolveFile()` возвращает путь к источнику символической ссылки, а не к ее цели. Это позволяет обойти проверку, обеспечивающую извлечение файлов только внутри целевого каталога. Последующий вызов `Files.newOutputStream()`, который по умолчанию следует по символическим ссылкам, фактически записывает содержимое записи в цель символической ссылки. Любой, кто использует Plexus Archiver для извлечения непроверенных архивов, уязвим к созданию произвольных файлов и, возможно, к удаленному выполнению кода. Версия 4.8.0 содержит исправление для этой проблемы.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.