Vulnerabilidad en Apache Ivy (CVE-2022-37866)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
07/11/2022
Última modificación:
01/05/2025
Descripción
Cuando Apache Ivy descarga artefactos de un repositorio, los almacena en el sistema de archivos local según un "patrón" proporcionado por el usuario que puede incluir marcadores de posición para las coordenadas de los artefactos, como la organización, el módulo o la versión. Si dichas coordenadas contienen secuencias "../", que son caracteres válidos para las coordenadas de Ivy en general, es posible que los artefactos se almacenen fuera del caché o repositorio local de Ivy o puedan sobrescribir diferentes artefactos dentro del caché local. Para aprovechar esta vulnerabilidad, un atacante necesita la colaboración del repositorio remoto, ya que Ivy emitirá solicitudes http que contienen secuencias ".." y un repositorio "normal" no las interpretará como parte de las coordenadas del artefacto. Los usuarios de Apache Ivy 2.0.0 a 2.5.1 deben actualizar a Ivy 2.5.1.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:ivy:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.5.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.apache.org/thread/htxbr8oc464hxrgroftnz3my70whk93b
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YDIFDL5WSBEKBUVKTABUFDDD25SBNJLS/
- https://lists.apache.org/thread/htxbr8oc464hxrgroftnz3my70whk93b
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YDIFDL5WSBEKBUVKTABUFDDD25SBNJLS/