PT-2026-7666 · Busybox · Busybox

Denys Vlasenko

·

Publicado

2026-02-11

·

Atualizado

2026-05-05

·

CVE-2026-26158

CVSS v3.1

7.0

Alta

VetorAV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas BusyBox (versões afetadas não especificadas)
Descrição Existe uma falha no BusyBox que permite a um atacante modificar arquivos fora do diretório de extração previsto. Isso é realizado através da criação de um arquivo tar malicioso com entradas de hardlink ou symlink não validadas. Caso o arquivo seja extraído com privilégios elevados, isso pode resultar em escalonamento de privilégios e acesso não autorizado a arquivos críticos do sistema.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

LPE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-73

Identificadores relacionados

AZL-77606
AZL-77613
CVE-2026-26158
ECHO-473C-40B9-E821
OESA-2026-1544
OPENSUSE-SU-2026:10231-1
OPENSUSE-SU-2026:20387-1
RHSA-2026:13831
SUSE-SU-2026:0758-1
SUSE-SU-2026:0759-1
SUSE-SU-2026:0872-1
SUSE-SU-2026:0892-1
SUSE-SU-2026:20905-1

Produtos afetados

Busybox