CVE-2026-35374 in coreutilsИнформация

Сводка

по VulDB • 28.05.2026

Уязвимость типа Time-of-Check to Time-of-Use (TOCTOU) существует в утилите split из набора uutils coreutils. Программа пытается предотвратить потерю данных, проверяя идентичность входного и выходного файлов на основе их путей до начала операции разделения. Однако после завершения этой проверки на основе путей утилита открывает выходной файл с усечением (truncation). Локальный злоумышленник, имеющий права на запись в каталог, может эксплуатировать это окно гонки (race window), манипулируя изменяемыми компонентами пути (например, заменяя путь символической ссылкой). Это может привести к тому, что утилита split выполнит усечение и запись в непредназначенный целевой файл, который может включать сам входной файл или другие чувствительные файлы, доступные процессу, что приведет к необратимой потере данных.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Canonical

Резервировать

02.04.2026

Раскрытие

22.04.2026

Модерация

принято

Вход

VDB-359037

CPE

готов

CWE

CWE-367 (Подтверждённый)

CVSS

6.3 (CNA)

EPSS

0.00014

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35374
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35374
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35374/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!