Apache Ivy allows creating/overwriting any file on the system 漏洞信息(CVE-2022-37865)

一、漏洞 CVE-2022-37865 基础信息

漏洞标题

Apache Ivy 允许在系统上创建/覆盖任何文件

来源：AIGC 神龙大模型

漏洞描述信息

Apache Ivy允许创建/覆盖系统上的任何文件

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Apache Ivy allows creating/overwriting any file on the system

来源：美国国家漏洞数据库 NVD

漏洞描述信息

With Apache Ivy 2.4.0 an optional packaging attribute has been introduced that allows artifacts to be unpacked on the fly if they used pack200 or zip packaging. For artifacts using the "zip", "jar" or "war" packaging Ivy prior to 2.5.1 doesn't verify the target path when extracting the archive. An archive containing absolute paths or paths that try to traverse "upwards" using ".." sequences can then write files to any location on the local fie system that the user executing Ivy has write access to. Ivy users of version 2.4.0 to 2.5.0 should upgrade to Ivy 2.5.1.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Apache Ivy 路径遍历漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Apache Ivy是美国阿帕奇（Apache）基金会的一个可传递的软件包管理器。 Apache Ivy 2.5.1之前版本存在安全漏洞，该漏洞源于在提取归档文件时不会验证目标路径。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

路径遍历

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-37865 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2022-37865 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-37865 的公开POC

三、漏洞 CVE-2022-37865 的情报信息

一、漏洞 CVE-2022-37865 基础信息