PT-2021-6391 · Unknown+10 · Libarchive+10

Mmatuska

·

Publicado

2021-12-24

·

Atualizado

2025-11-25

·

CVE-2021-31566

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
libarchive (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma falha na resolução incorreta de links que ocorre durante a extração de um arquivo compactado, permitindo potencialmente que um invasor altere os modos, horários, listas de controle de acesso e sinalizadores de um arquivo fora do arquivo compactado. Isso poderia ser explorado por um invasor local para obter mais privilégios em um sistema, fornecendo um arquivo compactado malicioso a um usuário vítima. A falha também está associada ao rastreamento de links simbólicos na biblioteca libarchive, o que poderia ser explorado através da criação de um link especialmente criado para um arquivo malicioso.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Link Following

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-61CWE-59

Identificadores relacionados

ALSA-2022:0892
ALT-PU-2022-1454
ALT-PU-2022-1524
ALT-PU-2022-3332
BDU:2022-01464
CESA-2022_0892
CVE-2021-31566
DLA-2987-1
DLA-3202-1
JLSEC-2025-236
MGASA-2022-0060
OESA-2022-1494
OPENSUSE-SU-2022_3935-1
OPENSUSE-SU-2022_3936-1
OPENSUSE-SU-2024:11894-1
RHSA-2022:0892
RHSA-2022_0892
RLSA-2022:0892
SUSE-SU-2022:3935-1
SUSE-SU-2022:3936-1
SUSE-SU-2022_3935-1
SUSE-SU-2022_3936-1
USN-5291-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libarchive