CVE-2023-37460 in Plexus Archiver
摘要
由 VulDB • 2026-05-28
Plexis Archiver 是一组 Plexus 组件,用于通过统一的 `Archiver`/`UnArchiver` API 创建或解压归档文件至目录。在 4.8.0 版本之前,使用 `AbstractUnArchiver` 解压归档文件可能导致任意文件创建,并可能引发远程代码执行(RCE)。当解压包含目标目录中已存在的符号链接条目的归档文件,且该符号链接的目标不存在时,`resolveFile()` 函数将返回符号链接的源路径而非其目标路径,从而绕过确保文件不会解压到目标目录之外的验证机制。随后,默认跟随符号链接的 `Files.newOutputStream()` 实际上会将条目的内容写入符号链接的目标位置。任何使用 plexus archiver 解压不受信任的归档文件的用户都可能面临任意文件创建及可能的远程代码执行风险。4.8.0 版本包含针对此问题的修复补丁。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.