CVE-2026-35355

Name of the Vulnerable Software and Affected Versions uutils coreutils (versões afetadas não especificadas)

Description O utilitário install contém uma condição de corrida de Tempo de Verificação ao Tempo de Uso (TOCTOU) durante a instalação de arquivos. Isso ocorre porque a implementação remove um arquivo de destino existente e o recria usando uma operação baseada em caminho sem a flag O EXCL. Um invasor local pode explorar a janela de tempo entre a remoção e a criação para substituir o caminho por um link simbólico, permitindo o redirecionamento de gravações privilegiadas para sobrescrever arquivos arbitrários do sistema. TOCTOU é um erro de software onde o estado de um recurso muda entre o momento em que é verificado e o momento em que é utilizado.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.