タイトル: CVE-2026-26157: busybox: BusyBox: 不完全なパスサニタイズによる任意のファイル上書きおよび潜在的なコード実行 ステータス: NEW 製品: Security Response コンポーネント: vulnerability OS: Linux 優先度: high 深刻度: high 報告日時: 2026-02-11 18:09 UTC 更新日時: 2026-02-11 20:17 UTC 影響対象: BusyBox v1.36.1 および v1.37.0(それ以前のバージョンも影響を受ける可能性あり) CVSS スコア: 8.6 (HIGH) 説明: - コンポーネント: アーカイブ抽出ユーティリティ(tar, unzip, rpm, ar, dpkg)における 関数 - 問題点: ファイル名の末尾にある ".." コンポーネント(例: "logs/data/../")を検出できない不完全なパスサニタイズにより、現在の作業ディレクトリが対象場所と一致する場合、意図した抽出ディレクトリの外にファイルが書き込まれる可能性がある。 - 影響: シェルの構成ファイル、cron ジョブ、その他の機密ファイルの変更を通じて、任意のファイルの上書きおよび潜在的なコード実行が可能になる。