PT-2026-7665 · Busybox · Busybox

Denys Vlasenko

Publicado

2026-02-11

Atualizado

2026-05-05

CVE-2026-26157

CVSS v3.1

7.0

Alta

Vetor

AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas BusyBox (versões afetadas não especificadas)

Descrição Existe uma falha nos utilitários de extração de arquivos do BusyBox devido à sanitização incompleta de caminhos. Um atacante pode criar arquivos compactados maliciosos que, quando extraídos sob condições específicas, podem permitir a gravação em arquivos fora do diretório pretendido. Isso pode levar à sobrescrita arbitrária de arquivos, potencialmente permitindo a execução de código através da modificação de arquivos sensíveis do sistema.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

LPE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-73

Identificadores relacionados

AZL-77603

AZL-77610

CVE-2026-26157

ECHO-8F94-ADFC-30E7

OESA-2026-1544

OPENSUSE-SU-2026:10258-1

OPENSUSE-SU-2026:20387-1

RHSA-2026:13831

SUSE-SU-2026:0758-1

SUSE-SU-2026:0759-1

SUSE-SU-2026:0872-1

SUSE-SU-2026:0892-1

SUSE-SU-2026:20905-1

Produtos afetados

Busybox

PT-2026-7665 · Busybox · Busybox

CVE-2026-26157

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 49