一、 漏洞 CVE-2022-22932 基础信息
漏洞信息
                                        # 路径穿越漏洞

# 漏洞描述

## 概述
Apache Karaf 中的 obr:* 命令和 karaf-maven-plugin 的 run 目标存在部分路径遍历漏洞,该漏洞允许突破预期文件夹。该漏洞修复在指定的版本中。

## 影响版本
- Apache Karaf 4.2.15 之前的版本
- Apache Karaf 4.3.6 之前的版本

## 细节
obr:* 命令和 karaf-maven-plugin 的 run 目标存在部分路径遍历漏洞。由于 obr:* 命令使用频率较低,并且入口由用户设置,因此该漏洞的风险较低。

## 影响
建议 Apache Karaf 用户尽快升级到 4.2.15 或 4.3.6 及以上版本,或者使用正确的路径。漏洞修复提交在以下链接:
- [36a2bc4](https://gitbox.apache.org/repos/asf?p=karaf.git;h=36a2bc4)
- [52b70cf](https://gitbox.apache.org/repos/asf?p=karaf.git;h=52b70cf)

相关 JIRA 记录:
- [KARAF-7326](https://issues.apache.org/jira/browse/KARAF-7326)
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Path traversal flaws
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Apache Karaf obr:* commands and run goal on the karaf-maven-plugin have partial path traversal which allows to break out of expected folder. The risk is low as obr:* commands are not very used and the entry is set by user. This has been fixed in revision: https://gitbox.apache.org/repos/asf?p=karaf.git;h=36a2bc4 https://gitbox.apache.org/repos/asf?p=karaf.git;h=52b70cf Mitigation: Apache Karaf users should upgrade to 4.2.15 or 4.3.6 or later as soon as possible, or use correct path. JIRA Tickets: https://issues.apache.org/jira/browse/KARAF-7326
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Karaf 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Karaf是美国阿帕奇(Apache)基金会的一款用于部署应用程序和组件的轻量级的OSGi(Java动态化模块化系统)容器。 Apache Karaf 存在安全漏洞,该漏洞源于Karaf -maven-plugin上运行目标上缺少对于路径的转义,导致路径遍历,这允许攻击者访问超出预期的文件夹。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-22932 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/shoucheng3/asf__karaf_CVE-2022-22932_4-3-5 POC详情
三、漏洞 CVE-2022-22932 的情报信息
四、漏洞 CVE-2022-22932 的评论

暂无评论

发表评论