CVE-2025-70952

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/03/2026

Última modificación:

26/03/2026

Descripción

pf4j anterior a 20c2f80 tiene una vulnerabilidad de salto de ruta en la función extract() de Unzip.java, donde el manejo inadecuado de los nombres de las entradas zip puede permitir ataques de salto de directorio o Zip Slip, debido a la falta de una normalización y validación de ruta adecuadas.

Impacto

Referencias a soluciones, herramientas e información

https://gist.github.com/weaver4VD/410f23adb24ef5f5077f021f4393e705
https://github.com/pf4j/pf4j/commit/20c2f80089d1ea779e22c2de5f109a0bce4e1b14
https://github.com/pf4j/pf4j/issues/618
https://github.com/pf4j/pf4j/issues/623