CVE-2026-23745

Nome do Software Vulnerável e Versões Afetadas node-tar versões <= 7.5.2

Descrição A biblioteca node-tar falha ao sanitizar o linkpath das entradas Link (hardlink) e SymbolicLink quando preservePaths é falso, o que é o comportamento seguro padrão. Isso permite que arquivos maliciosos contornem as restrições de raiz de extração, potencialmente levando à Sobrescrita Arbitrária de Arquivo por meio de hardlinks e ao Envenenamento de Link Simbólico por meio de alvos de link simbólico absoluto. A vulnerabilidade existe no arquivo src/unpack.ts, especificamente nos métodos [HARDLINK] e [SYMLINK]. Um arquivo malicioso pode criar um hardlink para um arquivo sensível no host e, potencialmente, sobrescrevê-lo, caso as permissões de arquivo permitam. Além disso, a biblioteca permite a criação de links simbólicos apontando para caminhos absolutos do sistema sensíveis ou caminhos de travessia, mesmo com as configurações padrão seguras de extração.

Recomendações Atualize para a versão 7.5.3 ou posterior do node-tar.