Ivy
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.0184
Распределение по критичности
Критический
2
Высокий
4
Средний
0
Низкий
0
Затронутые диапазоны версий
2.0.0–2.5.12.4.0–2.5.1< 2.5.2
Также сопоставлено как (исходные строки): ivy
Топ уязвимостей
CVE-2022-37865В Apache Ivy 2.4.0 был введен дополнительный атрибут упаковки, который позволяет распаковывать артефакты на лету, если они используют упаковку pack200 или zip. Для артефактов, использующих упаковку "zip", "jar" или "war", Ivy до версии 2.5.1 не проверяет целевой путь при извлечении архива. Архив, содержащий абсолютные пути или пути, которые пытаются перемещаться "вверх" с использованием последовательностей "..", может записывать файлы в любое место в локальной файловой системе, к которой пользователь, выполняющий Ivy, имеет доступ для записи. Пользователям Ivy версий с 2.4.0 по 2.5.0 следует обновиться до Ivy 2.5.1.
BDU:2024-02278Уявимость пакетного менеджера Apache Ivy связана с неверным ограниченим имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в файловую систему
CVE-2022-46751Уязвимость 'Неправильное ограничение XML внешней сущности' (XML Injection, также известная как Blind XPath Injection) в Apache Software Foundation Apache Ivy. Эта проблема затрагивает любую версию Apache Ivy до 2.5.2.
Когда Apache Ivy до 2.5.2 анализирует XML файлы - либо свою собственную конфигурацию, файлы Ivy или POM-файлы Apache Maven - он позволит загружать внешние определения типов документов и развивать любые ссылки на сущности, содержащиеся в них при использовании.
Это может быть использовано для эксфильтрации данных, доступа к ресурсам, к которым имеет доступ только машина, на которой работает Ivy, или для нарушения выполнения Ivy различными способами.
Начиная с Ivy 2.5.2, обработка DTD отключена по умолчанию, за исключением случаев, когда анализируются POM-файлы Maven, где по умолчанию разрешена обработка DTD, но только для включения фрагмента DTD, поставляемого с Ivy, который необходим для работы с существующими POM-файлами Maven, которые не являются действительными XML-файлами, но все же принимаются Maven. Доступ может быть сделан более терпимым через недавно введенные системные параметры, где это необходимо.
Пользователи Ivy до версии 2.5.2 могут использовать системные свойства Java для ограничения обработки внешних DTD, см. раздел о "Свойствах JAXP для ограничений внешнего доступа" в руководстве по безопасности "Java API для XML Processing (JAXP)" от Oracle.
BDU:2024-02252Уязвимость пакетного менеджера Apache Ivy связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или вызвать отказ в обслуживании
CVE-2022-37866Когда Apache Ivy загружает артефакты из репозитория, он сохраняет их в локальной файловой системе на основе предоставленного пользователем "шаблона", который может включать заполнители для координат артефактов, таких как организация, модуль или версия. Если указанные координаты содержат последовательности "../" - которые являются допустимыми символами для координат Ivy в целом - возможно, артефакты будут храниться за пределами локального кэша или репозитория Ivy или могут перезаписать различные артефакты внутри локального кэша. Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо сотрудничество с удаленным репозиторием, поскольку Ivy будет отправлять HTTP-запросы, содержащие последовательности "..", а "обычный" репозиторий не будет интерпретировать их как часть координат артефакта. Пользователям Apache Ivy версий с 2.0.0 по 2.5.1 следует обновиться до Ivy 2.5.1.
BDU:2024-02253Уявимость пакетного менеджера Apache Ivy связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к файловой системе