从这个网页截图中,可以获取到以下关于漏洞的关键信息: 漏洞概要 漏洞名称: Arbitrary File Read/Overwrite via Hardlink Path Traversal in node-tar CVE ID: CVE-2026-24842 严重性: High (8.2/10) 发布者: isaacs 发布日期: 4 hours ago GHSA ID: GHSA-34x7-hfp2-rc4v 受影响及修复版本 受影响版本: =7.5.7 漏洞描述 摘要: node-tar 含有一个漏洞,其对硬链接条目的安全检查使用了不同的路径解析语义,与实际的硬链接创建逻辑不一致。这种不一致允许攻击者制作一个恶意的 TAR 存档,绕过路径遍历防护,并在提取目录外部创建硬链接至任意文件。 关键细节 影响文件: 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 必需 作用范围: 改变 机密性: 高 完整性: 低 可用性: 无 代码摘录和安全检查 安全检查代码: 硬链接创建代码: 漏洞利用 攻击者可以: - 阅读通过硬链接逃逸到父目录的任意文件 - 通过向硬链接写入数据,覆盖任意文件 操作示例: 制作一个恶意的 TAR 存档,当应用使用 node-tar 提取时,向外创建硬链接。 示例代码和命令: 包含 PoC (Proof of Concept) 代码和命令,用以构建恶意服务端和客户端代码以及执行攻击操作。 漏洞影响 影响: 攻击者可以读取、写入任意文件,可能进行远程代码执行和服务器接管。 数据泄密: 泄露敏感数据,修改文件内容,盗取凭据。 引用弱项 弱项类型: CWE-22 (不适当的限制路径名操纵), CWE-59 (不安全的临时文件) 总结 这个漏洞存在于 node-tar 库中,对硬链接处理不当导致路径遍历攻击,严重性高,能够在特定配置下导致系统权限受损。已通过修版 >=7.5.7 解决。