CVE-2026-35372 in coreutils
요약
\~에 의해 VulDB • 2026. 05. 27.
uutils coreutils의 ln 유틸리티에 있는 로직 오류로 인해 --no-dereference(또는 -n) 플래그가 명시적으로 제공된 경우에도 심볼릭 링크 대상의 역참조가 허용됩니다. 기존 구현에서는 --force(덮어쓰기) 모드도 활성화된 경우에만 "역참조 안 함" 의도를 존중했습니다. 이 결함으로 인해 ln은 디렉토리를 가리키는 심볼릭 링크를 따라가서 대상 디렉토리 내부에 새 링크를 생성하며, 심볼릭 링크 자체를 대상으로 취급하지 않습니다. 특권 사용자나 시스템 스크립트가 심볼릭 링크를 업데이트하기 위해 ln -n을 사용하는 환경에서 로컬 공격자는 기존 심볼릭 링크를 조작하여 파일 생성이 민감한 디렉토리로 리디렉션되도록 할 수 있으며, 이로 인해 무단 파일 생성이나 시스템 오작동이 발생할 수 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.