CVE-2021-32804 — 神龙十问 AI 深度分析摘要

🚨 **本质**：node-tar 路径遍历漏洞（Path Traversal）。<br>🔥 **后果**：因绝对路径清理不足，导致**任意文件创建/覆盖**。攻击者可写入恶意文件，可能引发远程代码执行或系统接管。

🔍 **CWE**：CWE-22（路径遍历）。<br>🐛 **缺陷点**：解压时对**绝对路径的处理逻辑存在缺陷**，未能正确过滤或规范化路径，导致 `../` 等序列可逃逸到预期目录之外。

📦 **组件**：npm 包 `node-tar`。<br>🌐 **厂商**：npm。<br>⚠️ **波及范围**：使用该库进行文件压缩/解压缩的应用，以及依赖它的 **npm** 客户端本身。

💀 **权限**：本地权限（AV:L）。<br>📂 **数据**：高机密性/完整性破坏（C:H/I:H）。<br>🛠️ **能力**：黑客可**覆盖系统关键文件**（如 `.bashrc`），通过 `su` 或后续命令获取更高权限，实现持久化控制。

🔑 **认证**：PR:N（无需权限）。<br>👀 **交互**：UI:R（需要用户交互）。<br>📉 **门槛**：**中等**。虽然无需认证，但通常需要用户执行解压操作（如 `npm install` 或手动解压恶意 tar 包），非完全自动远程利用。

💣 **PoC**：有现成利用代码。<br>🔗 **来源**：GitHub 仓库 `yamory/CVE-2021-32804` 提供了 Docker 环境构建及复现脚本。<br>🎯 **验证**：通过创建包含恶意路径的 `bashrc.tgz` 并安装，可成功执行 `Hello, world!` 证明漏洞存在。

🔎 **自查特征**：检查项目中是否依赖 `node-tar`。<br>📋 **扫描点**：查看 `package.json` 或 `package-lock.json`。<br>⚠️ **风险场景**：处理不受信任的 tar 文件解压时，是否使用了受影响版本的 node-tar。

🛡️ **官方修复**：已修复。<br>📅 **时间**：2021-08-03 发布。<br>🔗 **补丁**：参考 GitHub commit `1f036ca23f64a547bdd6c79c1a44bc62e8115da4` 及 npm advisory 1770。建议升级至安全版本。

🚧 **临时规避**：<br>1. **升级**：立即升级 `node-tar` 到修复版本。<br>2. **隔离**：避免解压来源不明的 tar 包。<br>3. **监控**：监控关键系统文件（如 `.bashrc`）的异常写入。

🚨 **优先级**：**高**。<br>📊 **CVSS**：3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N。<br>💡 **建议**：虽然需要用户交互，但影响范围涵盖 npm 核心工具，且后果严重（任意文件覆盖）。**务必尽快升级**，防止供应链攻击或本地提权。