CVE-2026-35372 in coreutilsinformación

Resumen

por VulDB • 2026-05-14

Un error de lógica en la utilidad `ln` de `uutils coreutils` permite que la utilidad desreferencie el objetivo de un enlace simbólico incluso cuando se proporciona explícitamente la bandera `--no-dereference` (o `-n`). La implementación anteriormente solo respetaba la intención de "no desreferenciar" si también estaba habilitado el modo `--force` (sobrescribir). Esta vulnerabilidad hace que `ln` siga un enlace simbólico que apunta a un directorio y cree nuevos enlaces dentro de ese directorio objetivo, en lugar de tratar el propio enlace simbólico como el destino. En entornos donde un usuario privilegiado o un script del sistema utiliza `ln -n` para actualizar un enlace simbólico, un atacante local podría manipular enlaces simbólicos existentes para redirigir la creación de archivos hacia directorios sensibles, lo que potencialmente podría conducir a la creación no autorizada de archivos o a una configuración incorrecta del sistema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Canonical

Reservar

2026-04-02

Divulgación

2026-04-22

Moderación

aceptado

Artículo

VDB-359030

CPE

listo

EPSS

0.00012

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35372
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35372
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35372/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!