CVE-2025-67030CVE-2025-67030 是 plexus-utils 组件中 `org.codehaus.plexus.util.Expand` 类的 `extractFile` 方法存在的一个严重的目录遍历漏洞。该漏洞影响 commit 6d780b3378829318ba5c2d29547e0012d5b29642 之前的版本。攻击者可以通过构造包含恶意路径条目的压缩文件,利用此漏洞将文件解压到目标系统之外的任意目录。由于该组件广泛用于 Java 构建工具和应用程序中,成功利用此漏洞可能导致攻击者在服务器上写入任意文件,进而执行任意代码,对系统的机密性、完整性和可用性造成严重影响。
该漏洞的核心原理在于 `plexus-utils` 中的解压逻辑未能正确校验归档文件(如 ZIP 或 TAR)内文件的路径名。正常的解压逻辑应限制文件在被解压的目标目录内,防止“Zip Slip”攻击。然而,在受影响版本中,`extractFile` 方法未对文件名中的 `../` 序列进行充分过滤或规范化。当攻击者诱导应用程序解压特制的压缩包时,如果文件名包含例如 `../../evil.sh` 的路径,程序会将其直接解析并写入到解压目录的上层目录甚至系统根目录。攻击者通常通过诱导用户解压特制的恶意压缩包来触发漏洞。一旦文件写入成功,例如覆盖系统关键配置文件或上传 Webshell,攻击者即可在目标系统上执行任意命令。