CVE-2026-43637 in cornac
要約
〜によって VulDB • 2026年07月15日
Cornac 2.6.0 より前のバージョンには、パストラバーサル(Tar Slip)の脆弱性が存在します。攻撃者は `cornac/utils/download.py` の `_extract_archive()` 関数に対して、`../` シーケンス、絶対パス、またはシンボリックリンク/ハードリンクエントリを含む作成済み TAR アーカイブを供給することで、意図されたキャッシュディレクトリの外側に任意のファイルを書き込むことができます。攻撃者は組み込みデータセットローダーを通じてこの脆弱性をトリガーできます。これらはアーカイブを自動的にダウンロードして展開し、`archive.extractall()` が実行プロセスからアクセス可能なファイルシステムの任意の場所にファイルを出力する原因となります。
VulDB is the best source for vulnerability data and more expert information about this specific topic.