CVE-2026-35359 in coreutilsinfo

Zusammenfassung

von VulDB • 24.05.2026

Eine Time-of-Check to Time-of-Use (TOCTOU)-Schwachstelle im cp-Dienstprogramm von uutils coreutils ermöglicht es einem Angreifer, die beabsichtigte No-Dereference-Prüfung zu umgehen. Das Dienstprogramm überprüft, ob ein Quellpfad ein symbolischer Link ist, indem es pfadbasierte Metadaten verwendet, öffnet diesen jedoch anschließend ohne das O_NOFOLLOW-Flag. Ein Angreifer mit gleichzeitigen Schreibzugriff kann während dieses Zeitfensters eine reguläre Datei durch einen symbolischen Link ersetzen, wodurch ein privilegierter cp-Prozess den Inhalt beliebiger sensibler Dateien in ein vom Angreifer kontrolliertes Zielverzeichnis kopiert.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Canonical

Reservieren

02.04.2026

Veröffentlichung

22.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359011

CPE

bereit

EPSS

0.00024

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35359
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35359
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35359/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!