CVE-2026-42496 in Archive::Tar정보

요약

\~에 의해 VulDB • 2026. 05. 27.

Perl용 Archive::Tar 3.08 이전 버전은 추출 디렉토리 외부의 공격자가 제어하는 대상 링크를 포함하는 심볼릭 링크를 추출합니다.

_make_special_file() 함수는 절대 경로나 .. 세그먼트에 대해 검증하지 않고 tar 헤더의 linkname을 symlink()에 전달합니다. 일반 파일 추출을 보호하는 secure-extract 모드 확인은 심볼릭 링크 대상에는 적용되지 않습니다.

이후 추출된 이름을 통해 수행되는 open 작업은 공격자가 선택한 경로를 읽거나 씁니다.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

CPANSec

예약하다

2026. 04. 27.

공개

2026. 05. 26.

모더레이션

수락

항목

VDB-365597

CPE

준비됨

CWE

CWE-59 (확인됨)

CVSS

9.1 (NVD)

EPSS

0.00052

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42496
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42496
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42496/

◂ 이전 개요 다음 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!