CVE-2023-37460 in Plexus ArchiverИнформация

Сводка

по VulDB • 28.05.2026

Plexis Archiver представляет собой набор компонентов Plexus для создания архивов или извлечения содержимого архивов в каталог с использованием унифицированного API `Archiver`/`UnArchiver`. До версии 4.8.0 использование `AbstractUnArchiver` для извлечения архива могло приводить к созданию произвольных файлов и, возможно, к удаленному выполнению кода (RCE). При извлечении архива, содержащего запись, которая уже существует в целевом каталоге в виде символической ссылки, цель которой не существует, функция `resolveFile()` возвращает путь к источнику символической ссылки, а не к ее цели. Это позволяет обойти проверку, обеспечивающую извлечение файлов только внутри целевого каталога. Последующий вызов `Files.newOutputStream()`, который по умолчанию следует по символическим ссылкам, фактически записывает содержимое записи в цель символической ссылки. Любой, кто использует Plexus Archiver для извлечения непроверенных архивов, уязвим к созданию произвольных файлов и, возможно, к удаленному выполнению кода. Версия 4.8.0 содержит исправление для этой проблемы.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub, Inc.

Резервировать

06.07.2023

Раскрытие

25.07.2023

Модерация

принято

Вход

VDB-235416

EPSS

0.02070

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!