pf4j до 20c2f80 имеет уязвимость обхода пути в функции extract() Unzip.java, где неправильная обработка имен записей zip может сделать возможным обход каталога или атаки Zip Slip из-за отсутствия правильной нормализации и проверки пути.
Показать оригинальное описание (EN)
pf4j before 20c2f80 has a path traversal vulnerability in the extract() function of Unzip.java, where improper handling of zip entry names can allow directory traversal or Zip Slip attacks, due to a lack of proper path normalization and validation.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1