Plataforma
java
Componente
migration-utils
Corrigido em
3.8.2
A vulnerabilidade CVE-2025-23011 é um problema de Path Traversal (Zip Slip) identificado no Fedora Repository, especificamente nas versões de 0 a 3.8.1. Um atacante remoto autenticado pode explorar essa falha ao enviar um arquivo compactado especialmente elaborado, permitindo a extração de um arquivo JSP malicioso e sua execução subsequente. A versão 3.8.1 foi lançada em 2015-06-11 e não recebe mais suporte, sendo recomendada a migração para a versão 6.5.1.
A exploração bem-sucedida do CVE-2025-23011 permite que um atacante remoto autenticado execute código arbitrário no servidor Fedora Repository. Isso ocorre porque o atacante pode criar um arquivo ZIP contendo arquivos com caminhos que, ao serem extraídos, sobrescrevem arquivos importantes do sistema, como arquivos JSP. A execução desses arquivos JSP maliciosos pode levar ao comprometimento completo do servidor, permitindo ao atacante controlar o sistema, roubar dados sensíveis ou realizar outras ações maliciosas. A vulnerabilidade é particularmente grave porque não requer privilégios elevados no servidor, apenas autenticação básica.
O CVE-2025-23011 foi publicado em 2025-01-23. Embora não haja relatos públicos de exploração ativa, a natureza da vulnerabilidade (Path Traversal) a torna um alvo potencial para atacantes. A ausência de suporte para as versões afetadas aumenta o risco, pois as correções de segurança não são mais aplicadas automaticamente. A vulnerabilidade se assemelha a outros casos de Zip Slip, demonstrando a importância de validar os caminhos de arquivos durante a extração de arquivos compactados.
Organizations and individuals utilizing older, unmaintained versions of Fedora Repository (0–3.8.1) are at significant risk. This includes those relying on Fedora Repository for managing software packages or repositories, particularly in environments where authentication is not adequately secured or input validation is lacking. Shared hosting environments using vulnerable Fedora Repository instances are also particularly vulnerable.
• linux / server: Monitor repository logs for unusual file extraction patterns or attempts to access unexpected directories. Use lsof or ss to identify any unexpected processes accessing JSP files.
lsof /path/to/repository/jsp_directory• generic web: Check access logs for GET requests targeting JSP files in unexpected locations.
grep "/jsp_directory/" /var/log/apache2/access.log• java: Examine the Fedora Repository application code for insecure archive extraction routines. Look for code that doesn't properly validate file paths during extraction.
release
disclosure
Status do Exploit
EPSS
2.09% (percentil 84%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2025-23011 é a migração para uma versão suportada do Fedora Repository, especificamente a versão 6.5.1. Se a atualização imediata não for possível, é crucial implementar medidas de segurança adicionais. Considere a configuração de um Web Application Firewall (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório esperado. Além disso, revise as permissões de arquivos e diretórios para garantir que apenas usuários autorizados tenham acesso a arquivos sensíveis. A monitorização dos logs do sistema em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados, também é recomendada. Após a atualização, confirme a correção verificando se a extração de arquivos ZIP não permite mais a escrita fora do diretório esperado.
Actualice Fedora Repository a la versión 6.5.1 o superior. Esta versión corrige la vulnerabilidad de path traversal al extraer archivos. Se recomienda migrar a una versión soportada lo antes posible.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-23011 is a Path Traversal vulnerability affecting Fedora Repository versions 0–3.8.1, allowing attackers to upload malicious archives and potentially execute code.
You are affected if you are using Fedora Repository versions 0 through 3.8.1. Upgrade to 6.5.1 or later to mitigate the risk.
The primary fix is to upgrade to Fedora Repository version 6.5.1 or a later supported version. Consider input validation as a temporary workaround.
While no widespread exploitation has been publicly confirmed, the vulnerability pattern is well-known, and exploitation is possible.
Refer to the Fedora Security Advisories for the latest information: https://lists.fedoraproject.org/archives/fedora-security-announce/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.