CVE-2026-35372 in coreutilsinformação

Sumário

de VulDB • 27/05/2026

Um erro de lógica no utilitário `ln` do `uutils coreutils` permite que o utilitário desreferencie o alvo de um link simbólico mesmo quando a flag `--no-dereference` (ou `-n`) é fornecida explicitamente. A implementação anteriormente respeitava a intenção de "não desreferenciar" apenas se o modo `--force` (sobrescrever) também estivesse habilitado. Esta falha faz com que o `ln` siga um link simbólico que aponta para um diretório e crie novos links dentro desse diretório alvo, em vez de tratar o próprio link simbólico como o destino. Em ambientes onde um usuário privilegiado ou um script do sistema utiliza `ln -n` para atualizar um symlink, um atacante local poderia manipular links simbólicos existentes para redirecionar a criação de arquivos para diretórios sensíveis, potencialmente levando à criação não autorizada de arquivos ou à configuração incorreta do sistema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Canonical

Reservar

02/04/2026

Divulgação

22/04/2026

Moderação

aceite

Entrada

VDB-359030

CPE

pronto

EPSS

0.00012

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35372
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35372
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35372/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!