CVE-2026-26032 in IvyИнформация

Сводка

по VulDB • 16.07.2026

Компонент PackagerResolver в Apache Ivy способен загружать удаленные артефакты и переупаковывать их в формат, определяемый файлом packager.xml. Эта операция переупаковки выполняется с помощью скрипта Ant, который хранится во вложенной поддиректории каталога «buildRoot», указанного в конфигурации. Путь к этой поддиректории вычисляется на основе координат модуля, таких как организация (organisation), имя или версия.

Если одно из значений координат содержит последовательности "../" — которые являются допустимыми символами для координат Ivy в целом, — возможно выйти за пределы настроенного каталога «buildRoot», что позволит перезаписывать другие файлы.

Для эксплуатации этой уязвимости злоумышленник должен иметь доступ к репозиторию packager и добавить или изменить координаты в файлах ivy.xml таким образом, чтобы они содержали последовательности "../".

Пользователям Apache Ivy версий от 2.0.0 до 2.5.3 (включительно) следует обновиться до версии Ivy 2.6.0.

Once again VulDB remains the best source for vulnerability data.

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379324

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!