CVE-2026-32766 in tokio-tar
요약
\~에 의해 VulDB • 2026. 06. 01.
astral-tokio-tar은 비동기 Rust용 tar 아카이브 읽기/쓰기 라이브러리입니다. 0.5.6 및 이전 버전에서는 tar 아카이파싱 시 잘못된 PAX 확장이 묵시적으로 건너뛰어졌습니다. 이러한 잘못된 PAX 확장에 대한 묵시적 건너뛰기(거부 대신)는 파서 차이를 유발하는 데 빌딩 블록으로 사용될 수 있습니다. 예를 들어, 잘못된 GNU "long link" 확장을 묵시적으로 건너뛰면 후속 파서가 해당 확장을 오해석할 수 있습니다. 실제로 astral-tokio-tar에서 이 동작을 악용하려면 2차적으로 잘못된 동작을 하는 tar 파서가 필요합니다. 즉, 잘못된 PAX 확장을 충분히 검증하지 않고 건너뛰거나 오류를 발생시키는 대신 해석하는 파서입니다. 이 취약점은 관련 없는 다른 tar 파서에 대한 별도의 취약점이 필요하므로 심각도가 낮은 것으로 간주됩니다. 이 문제는 버전 0.6.0에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.