PT-2024-7914 · Node-Tar+7 · Node-Tar+7

Demon1A

·

Publicado

2024-03-21

·

Atualizado

2026-06-04

·

CVE-2024-28863

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do node-tar anteriores à 6.2.1
Node.js (versões afetadas não especificadas)
Descrição
O pacote node-tar, utilizado para operações Tar no Node.js, está suscetível a uma condição de negação de serviço. Isso ocorre porque não há limite para o número de subpastas criadas durante o processo de criação de pastas. Um invasor pode explorar essa vulnerabilidade fornecendo um caminho especialmente criado que contenha um grande número de subpastas aninhadas. Isso pode levar a um consumo excessivo de memória e, potencialmente, causar a falha do cliente Node.js. O problema foi resolvido na versão 6.2.1, que impede a extração em subpastas excessivamente profundas.
Recomendações
Atualize o node-tar para a versão 6.2.1 ou posterior.

Exploit

Correção

DoS

Allocation of Resources Without Limits

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-400

Identificadores relacionados

ALSA-2024:5814
ALSA-2024:6147
ALSA-2024:6148
ALSA-2024_5814
ALSA-2024_6147
ALSA-2024_6148
AZL-37115
AZL-37121
AZL-37136
BDU:2024-09418
CESA-2024_5814
CESA-2024_6148
CVE-2024-28863
GHSA-F5X3-32G6-XQ36
INFSA-2024_5814
INFSA-2024_6147
INFSA-2024_6148
RHSA-2024:5814
RHSA-2024:6147
RHSA-2024:6148
RHSA-2024:8906
RHSA-2024_5814
RHSA-2024_6147
RHSA-2024_6148
RLSA-2024:5814
RLSA-2024:6147
RLSA-2024:6148

Produtos afetados

Almalinux
Centos
Debian
Node.Js
Red Hat
Red Os
Rocky Linux
Node-Tar