node-tar Arbitrary File Read/Overwrite via Hardlink Path Traversal (CVE-2026-24842)

从这个网页截图中，可以获取到以下关于漏洞的关键信息： 漏洞概要 漏洞名称: Arbitrary File Read/Overwrite via Hardlink Path Traversal in node-tar CVE ID: CVE-2026-24842 严重性: High (8.2/10) 发布者: isaacs 发布日期: 4 hours ago GHSA ID: GHSA-34x7-hfp2-rc4v 受影响及修复版本 受影响版本: =7.5.7 漏洞描述 摘要: node-tar 含有一个漏洞，其对硬链接条目的安全检查使用了不同的路径解析语义，与实际的硬链接创建逻辑不一致。这种不一致允许攻击者制作一个恶意的 TAR 存档，绕过路径遍历防护，并在提取目录外部创建硬链接至任意文件。 关键细节 影响文件: 攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 必需 作用范围: 改变 机密性: 高 完整性: 低 可用性: 无 代码摘录和安全检查 安全检查代码: 硬链接创建代码: 漏洞利用 攻击者可以: - 阅读通过硬链接逃逸到父目录的任意文件 - 通过向硬链接写入数据，覆盖任意文件 操作示例: 制作一个恶意的 TAR 存档，当应用使用 node-tar 提取时，向外创建硬链接。 示例代码和命令: 包含 PoC (Proof of Concept) 代码和命令，用以构建恶意服务端和客户端代码以及执行攻击操作。 漏洞影响 影响: 攻击者可以读取、写入任意文件，可能进行远程代码执行和服务器接管。 数据泄密: 泄露敏感数据，修改文件内容，盗取凭据。 引用弱项 弱项类型: CWE-22 (不适当的限制路径名操纵), CWE-59 (不安全的临时文件) 总结 这个漏洞存在于 node-tar 库中，对硬链接处理不当导致路径遍历攻击，严重性高，能够在特定配置下导致系统权限受损。已通过修版 >=7.5.7 解决。

目標達成すべての支援者に感謝 — 100%達成しました！

node-tar Arbitrary File Read/Overwrite via Hardlink Path Traversal (CVE-2026-24842)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

node-tar Arbitrary File Read/Overwrite via Hardlink Path Traversal (CVE-2026-24842)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！