CVE-2026-23950

Nome do Software Vulnerável e Versões Afetadas Versões do node-tar até e incluindo a 7.5.3

Descrição O node-tar, um utilitário Tar para Node.js, contém uma condição de corrida devido ao tratamento incompleto de colisões de caminhos Unicode no sistema path-reservations. Este problema ocorre em sistemas de arquivos que não diferenciam maiúsculas e minúsculas ou que ignoram normalização Unicode, como o APFS do macOS, onde caminhos colidentes (ex.: ß e ss) não são adequadamente travados. Isso permite processamento paralelo, contornando as proteções internas de concorrência e possibilitando ataques de envenenamento de symlink por meio de condições de corrida. A vulnerabilidade permite que um atacante contorne travas internas de paralelização utilizando nomes de arquivo conflitantes dentro de um arquivo tar malicioso. O problema está relacionado ao uso da normalização Unicode NFD, que não preserva a ordem de caminhos conflitantes em sistemas de arquivos que ignoram a normalização Unicode. A vulnerabilidade permite uma condição de corrida que possibilita a sobrescrita arbitrária de arquivos.

Recomendações Versões do node-tar até e incluindo a 7.5.3 devem ser atualizadas para a versão 7.5.4. Como alternativa, filtre todas as entradas SymbolicLink ao extrair dados de tarballs arbitrários programaticamente.