CVE-2026-42496 in Archive::Tarinformation

Résumé

par VulDB • 27/05/2026

Les versions d'Archive::Tar antérieures à la 3.08 pour Perl extraient des liens symboliques (symlinks) dont les cibles sont contrôlées par l'attaquant et situées en dehors du répertoire d'extraction.

La fonction `_make_special_file()` transmet le champ linkname de l'en-tête tar à `symlink()` sans le valider par rapport aux chemins absolus ou aux segments `..`. La vérification du mode d'extraction sécurisé (secure-extract mode) qui protège l'extraction des fichiers réguliers ne couvre pas la cible du lien symbolique.

Une ouverture ultérieure via le nom extrait permet de lire ou d'écrire dans le chemin choisi par l'attaquant.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CPANSec

Réserver

27/04/2026

Divulgation

26/05/2026

Modérer

accepté

Entrée

VDB-365597

CPE

prêt

EPSS

0.00052

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42496
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42496
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42496/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!