Maven 依赖、EAR、Javadoc、WAR 和插件插件

严重性：低

供应商：Apache 软件基金会

受影响的版本：

• Maven 依赖插件 3.1.0 及更早版本
• Maven EAR 插件 3.0.0 及更早版本
• Maven Javadoc 插件 2.5 到 3.0.0
• Maven WAR 插件 2.1-alpha-1 到 3.2.0
• Maven Plugin 插件 3.0 到 3.5.1

描述：作为更广泛研究的一部分，Snyk 安全研究团队发现了一个任意文件写入通用漏洞，该漏洞可以使用包含路径遍历文件名的特制 zip（或 bzip2、gzip、tar、xz、war）存档来实现. 因此，当文件名连接到目标提取目录时，如果使用的提取工具没有进行足够的检查，最终路径最终会出现在目标文件夹之外。受影响的插件使用 plexus-archiver 将依赖项解压缩到磁盘，并且已被确定为在依赖项受到损害时暴露漏洞的潜在触发器。

有关详细信息，请参阅完整说明。

信用：这个问题是由 Snyk 安全研究团队发现的

CVE-2013-0253 Apache Maven 3.0.4

严重性：中

供应商：Apache 软件基金会

受影响的版本：

• apache Maven 3.0.4
• Apache Maven Wagon 2.1、2.2、2.3

说明：Apache Maven 3.0.4（带有 Apache Maven Wagon 2.1）默认引入了非安全 SSL 模式。此模式禁用所有 SSL 证书检查，包括：主机名验证、日期有效性和证书链。不验证证书会引入中间人攻击的可能性。

CVE-2013-0253

建议所有用户升级到Apache Maven 3.0.5和 Apache Maven Wagon 2.4。

信用：这个问题是由 Graham Leggett 确定的

CVE-2012-6153 Apache Maven Wagon :: WebDAV 提供程序

严重性：中

供应商：Apache 软件基金会

受影响的版本：

• Apache Maven Wagon WebDAV Provider 2.12 及更早版本

说明：4.2.3 之前的 Apache Commons HttpClient 中的 http/conn/ssl/AbstractVerifier.java 无法正确验证服务器主机名是否与 X.509 证书的主题的通用名称 (CN) 或 subjectAltName 字段中的域名匹配，这允许中间人攻击者通过证书欺骗 SSL 服务器，该证书的主题在非 CN 字段的字段中指定通用名称。

CVE-2012-6153

建议此提供程序的用户升级到Apache Maven Wagon :: WebDAV Provider 3.0.0