CVE-2026-35356

Name of the Vulnerable Software and Affected Versions uutils coreutils (versões afetadas não especificadas)

Description Um problema de Time-of-Check to Time-of-Use (TOCTOU) existe no utilitário install ao usar a flag '-D'. O comando cria diretórios pai e, em seguida, realiza uma segunda resolução de caminho para criar o arquivo de destino, sem ancorar nenhum desses processos a um descritor de arquivo de diretório. Um invasor com acesso de gravação simultâneo pode substituir um componente do caminho por um link simbólico entre essas operações, redirecionando a gravação privilegiada para um local arbitrário do sistema de arquivos. TOCTOU é uma condição de corrida onde um recurso do sistema é modificado entre o momento em que é verificado e o momento em que é utilizado.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.