PT-2026-43162 · Cpan · Archive Tar
Stig Palmquist
·
Publicado
2026-05-26
·
Atualizado
2026-05-30
·
CVE-2026-42496
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Archive::Tar versões anteriores a 3.08
Description
O Archive::Tar para Perl permite a extração de links simbólicos (symlinks) com alvos controlados por um invasor localizados fora do diretório de extração. A função
make special file() passa o linkname do cabeçalho do tar para symlink() sem validá-lo contra caminhos absolutos ou segmentos ... Embora exista um modo de extração segura para proteger a extração de arquivos regulares, ele não abrange o alvo do link simbólico. Consequentemente, uma operação de abertura subsequente através do nome extraído pode ler ou gravar em um caminho escolhido pelo invasor.Recommendations
Atualize o Archive::Tar para a versão 3.08 ou posterior.
Correção
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Archive Tar