CVE-2026-35372 in coreutilsИнформация

Сводка

по VulDB • 27.05.2026

Ошибка логики в утилите ln из набора uutils coreutils позволяет утилите разыменовывать цель символической ссылки даже при явном указании флага --no-dereference (или -n). Ранее реализация учитывала намерение «не разыменовывать» только в том случае, если также был включен режим --force (перезапись). Эта уязвимость приводит к тому, что ln следует по символической ссылке, указывающей на каталог, и создает новые ссылки внутри целевого каталога, вместо того чтобы рассматривать саму символическую ссылку как место назначения. В средах, где привилегированный пользователь или системный скрипт использует команду ln -n для обновления символической ссылки, локальный злоумышленник может манипулировать существующими символическими ссылками, чтобы перенаправить создание файлов в чувствительные каталоги, что потенциально может привести к несанкционированному созданию файлов или неправильной конфигурации системы.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Canonical

Резервировать

02.04.2026

Раскрытие

22.04.2026

Модерация

принято

Вход

VDB-359030

CPE

готов

CWE

CWE-61 (Подтверждённый)

CVSS

5.0 (CNA)

EPSS

0.00012

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35372
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35372
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35372/

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!