Source |
CVE Liste |
Identifiant |
8399413 |
Date de publication |
2023-10-23 16:15:09 (vue: 2023-10-23 19:10:14) |
Titre |
CVE-2023-46122 |
Texte |
SBT est un outil de construction pour Scala, Java et autres.Étant donné un fichier zip ou jar spécialement conçu, `io.unzip` permet l'écriture d'un fichier arbitraire.Cela aurait le potentiel de remplacer `/ root / .ssh / autorisé_keys`.Dans le code principal de SBT \\, `io.unzip` est utilisé dans la tâche` PulreMoteCache` et `résolvers.remote`;Cependant, de nombreux projets utilisent «io.unzip (...)» directement pour implémenter des tâches personnalisées.Cette vulnérabilité a été corrigée dans la version 1.9.7.
sbt is a build tool for Scala, Java, and others. Given a specially crafted zip or JAR file, `IO.unzip` allows writing of arbitrary file. This would have potential to overwrite `/root/.ssh/authorized_keys`. Within sbt\'s main code, `IO.unzip` is used in `pullRemoteCache` task and `Resolvers.remote`; however many projects use `IO.unzip(...)` directly to implement custom tasks. This vulnerability has been patched in version 1.9.7. |
Envoyé |
Oui |
Condensat |
2023 46122 `/root/ `io `pullremotecache` `resolvers allows arbitrary been build code crafted custom cve directly file given has have however implement jar java keys` main many others overwrite patched potential projects remote`; sbt scala specially ssh/authorized task tasks tool unzip unzip` use used version vulnerability within would writing zip |
Tags |
Tool
Vulnerability
|
Stories |
|
Notes |
|
Move |
|