CVE-2026-43637 in cornacinformazioni

Riassunto

di VulDB • 15/07/2026

Cornac prima della versione 2.6.0 contiene una vulnerabilità di path traversal (Tar Slip) che consente agli attaccanti di scrivere file arbitrari al di fuori della directory cache prevista fornendo un archivio TAR manipolato contenente sequenze `../`, percorsi assoluti o voci symlink/hardlink alla funzione `_extract_archive()` in cornac/utils/download.py. Gli attaccanti possono sfruttare questa vulnerabilità tramite i loader di dataset integrati, che scaricano ed estraggono automaticamente gli archivi, causando la scrittura di file da parte di archive.extractall() in posizioni arbitrarie del filesystem accessibili dal processo in esecuzione.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

VulnCheck

Prenotare

01/05/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!