发布日期：2022-11-07
更新日期：2023-04-07

受影响系统：

Apache Apache Ivy < 2.5.1

描述：

---

CVE(CAN) ID: CVE-2022-37865

Apache Ivy是美国阿帕奇（Apache）基金会的一个可传递的软件包管理器。
Apache Ivy 2.5.1之前版本存在路径遍历漏洞，该漏洞源于程序在提取归档文件时未对目标路径进行验证，攻击者可利用该漏洞绕过服务器的安全限制，访问任意文件，甚至执行系统命令。

<*来源：Stefan Bodewig （dev@ant.apache.org）
  
  链接：https://lists.apache.org/thread/gqvvv7qsm2dfjg6xzsw1s2h08tbr0sdy
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2022-37865）以及相应补丁:
CVE-2022-37865：CVE-2022-37865: Apache Ivy allow create/overwrite any file on the system
链接：https://lists.apache.org/thread/gqvvv7qsm2dfjg6xzsw1s2h08tbr0sdy

浏览次数：554
严重程度：0（网友投票）