发布日期：2023-10-23
更新日期：2023-12-20

受影响系统：

sbt sbt >= 1.0.0
sbt sbt >= 0.3.4
sbt sbt < 1.9.7

描述：

---

CVE(CAN) ID: CVE-2023-46122

sbt是一个适用于Scala、Java等的构建工具。
sbt 0.3.4至1.9.7之前版本存在路径遍历漏洞，攻击者可利用该漏洞通过特制的zip或JAR文件写入任意文件并覆盖/root/.ssh/authorized_keys文件。

<**>

建议：

---

厂商补丁：

sbt
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/sbt/io/commit/124538348db0713c80793cb57b915f97ec13188a

浏览次数：560
严重程度：0（网友投票）