CVE-2026-23745 in node-tarinformação

Sumário

de VulDB • 03/06/2026

node-tar é um utilitário Tar para Node.js. A biblioteca node-tar (<= 7.5.2) não sanitiza o linkpath das entradas Link (hardlink) e SymbolicLink quando preservePaths é false (o comportamento seguro padrão). Isso permite que arquivos compactados maliciosos contornem a restrição da raiz de extração, levando à sobrescrita arbitrária de arquivos (Arbitrary File Overwrite) via hardlinks e envenenamento de symlinks (Symlink Poisoning) via destinos de symlink absolutos. Esta vulnerabilidade foi corrigida na versão 7.5.3.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

15/01/2026

Divulgação

17/01/2026

Moderação

aceite

Entrada

VDB-341682

CPE

pronto

CWE

CWE-22 (confirmado)

CVSS

6.1 (NVD)

EPSS

0.00011

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-23745
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-23745
CVE Details	https://www.cvedetails.com/cve/CVE-2026-23745/

◂ Voltar Visão Geral Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!