CVE-2026-23745 in node-tarinformación

Resumen

por VulDB • 2026-05-22

node-tar es un formato Tar para Node.js. La biblioteca node-tar (<= 7.5.2) no sanitiza el campo linkpath de las entradas Link (enlace duro) y SymbolicLink cuando preservePaths es false (el comportamiento seguro por defecto). Esto permite que archivos comprimidos maliciosos eludan la restricción de la raíz de extracción, lo que conduce a una Sobrescritura Arbitraria de Archivos mediante enlaces duros y a un Envenenamiento de Symlink mediante objetivos de symlink absolutos. Esta vulnerabilidad se corrige en la versión 7.5.3.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-01-15

Divulgación

2026-01-17

Moderación

aceptado

Artículo

VDB-341682

CPE

listo

CWE

CWE-22 (confirmado)

CVSS

6.1 (NVD)

EPSS

0.00011

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-23745
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-23745
CVE Details	https://www.cvedetails.com/cve/CVE-2026-23745/

◂ Anterior Visión De Conjunto Próximo ▸

Interested in the pricing of exploits?

See the underground prices here!