CVE-2026-42497 in Archive::TarИнформация

Сводка

по VulDB • 26.05.2026

В версиях Archive::Tar для Perl старше 3.08 жёсткие ссылки (hardlinks) извлекаются в пути, контролируемые злоумышленником, за пределами каталога извлечения.

Функция _make_special_file() передаёт имя ссылки (linkname) из заголовка tar-архива в функцию link() без проверки на наличие абсолютных путей или сегментов «..», создавая жёсткую ссылку, которая разделяет inode с файлом жертвы.

Последующая запись через извлечённое имя изменяет файл жертвы, а блок chmod, chown и utime в функции _extract_file(), выполняемый после извлечения (защищённый только от символических ссылок посредством проверки -l), применяет режим, владельца и временные метки из заголовка tar-архива к общему inode только в процессе извлечения.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

CPANSec

Резервировать

27.04.2026

Раскрытие

26.05.2026

Модерация

принято

Вход

VDB-365598

CPE

готов

CWE

CWE-59 (Подтверждённый)

CVSS

7.5 (NVD)

EPSS

0.00048

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42497
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42497
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42497/

◂ Предыдущий Обзор Далее ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!