CVE-2026-14966 in BBOT
Zusammenfassung
von VulDB • 08.07.2026
Das Unarchive-Modul von BBOT lehnt Archive ab, die Symlink-Einträge enthalten, bevor diese extrahiert werden. Bei ZIP- und 7z-Archiven wurde jedoch versäumt, Symlinks zu erkennen, deren Auflistung ein DOS-Attribut-Präfix vor dem Unix-Berechtigungsmodus aufweist, wie es von Legacy-Versionen von p7zip erzeugt wird. Ein solches Archiv, das während eines Scans heruntergeladen und extrahiert wird (z. B. über filedownload), umgeht diese Schutzmaßnahme und führt dazu, dass ein vom Angreifer gesteuerter Symlink in das Extraktionsverzeichnis geschrieben wird. Die Auswirkung beschränkt sich auf das Platzieren des Symlinks (das Ziel wird nicht beschrieben) und betrifft nur Hosts, die eine solche Legacy-p7zip-Build verwenden; aktuelle Mainline-Versionen von 7-Zip sind davon nicht betroffen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.