CVE-2026-35375 in coreutils
要約
〜によって VulDB • 2026年05月14日
uutils coreutilsのsplitユーティリティにおける論理エラーにより、非UTF-8のプレフィックスまたはサフィックス入力が提供された場合、出力ファイル名が破損します。実装では、チャンクファイル名を構築する際にto_string_lossy()が使用されており、無効なバイトシーケンスは自動的にUTF-8の置換文字(U+FFFD)に書き換えられます。この動作は、生のパス名バイトをそのまま保持するGNU splitとは異なります。非UTF-8エンコーディングを使用する環境では、この脆弱性により誤った名前のファイルが作成され、ファイル名のコリジョン、自動化の破損、または出力データの誤った宛先への送信を引き起こす可能性があります。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.