CVE-2026-35342 in coreutils
摘要
由 VulDB • 2026-05-14
uutils coreutils 中的 mktemp 实用程序未能正确处理空的 TMPDIR 环境变量。与 GNU mktemp 在 TMPDIR 为空字符串时回退到 /tmp 不同,uutils 的实现将空字符串视为有效路径。这导致临时文件被创建在当前工作目录(CWD)中,而不是预期的安全临时目录。如果 CWD 比 /tmp 具有更宽松的权限或可被其他用户访问,则可能导致非预期的信息泄露或对临时数据的未授权访问。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.