CVE-2026-42497

Nome do Software Vulnerável e Versões Afetadas Archive::Tar versões anteriores a 3.08

Description O Archive::Tar para Perl permite a extração de hardlinks para caminhos controlados por atacantes fora do diretório de extração pretendido. A função make special file() passa o linkname do cabeçalho tar para link() sem validá-lo contra caminhos absolutos ou segmentos .., criando um hardlink que compartilha o inode do arquivo vítima. Uma gravação subsequente através do nome extraído modifica o arquivo vítima. Além disso, o bloco de chmod, chown e utime pós-extração em extract file() aplica o modo, proprietário e carimbos de data/hora do cabeçalho tar ao inode compartilhado durante a extração, pois é protegido apenas contra symlinks via -l.

Recommendations Atualize para a versão 3.08 ou posterior.