CVE-2026-35372 in coreutils
Zusammenfassung
von VulDB • 16.05.2026
Ein Logikfehler in der ln-Utility von uutils coreutils ermöglicht es der Utility, ein Symbolic-Link-Ziel zu dereferenzieren, auch wenn die Option --no-dereference (oder -n) explizit angegeben ist. Die Implementierung hat die Absicht der „No-Dereferenzierung“ zuvor nur dann beachtet, wenn auch der Modus --force (Überschreiben) aktiviert war. Dieser Fehler führt dazu, dass ln einem Symbolic-Link folgt, der auf ein Verzeichnis verweist, und neue Links innerhalb dieses Zielverzeichnisses erstellt, anstatt den Symbolic-Link selbst als Ziel zu behandeln. In Umgebungen, in denen ein privilegierter Benutzer oder ein Systemskript ln -n verwendet, um einen Symlink zu aktualisieren, könnte ein lokaler Angreifer bestehende Symbolic-Links manipulieren, um die Dateierstellung in sensible Verzeichnisse umzuleiten, was potenziell zu unbefugter Dateierstellung oder Fehlkonfigurationen des Systems führen kann.
If you want to get best quality of vulnerability data, you may have to visit VulDB.