node-tar — это полнофункциональный Tar для Node.js. При использовании параметров по умолчанию в версиях 7.5.7 и ниже архив, контролируемый злоумышленником, может создать жесткую ссылку внутри каталога извлечения, указывающую на файл за пределами корня извлечения, что позволяет читать и записывать произвольный файл от имени извлекающего пользователя. Уровень серьезности высок, поскольку примитив обходит защиту пути и превращает извлечение архива в примитив прямого доступа к файловой системе.
Эта проблема исправлена в версии 7.5.8.
Показать оригинальное описание (EN)
node-tar is a full-featured Tar for Node.js. When using default options in versions 7.5.7 and below, an attacker-controlled archive can create a hardlink inside the extraction directory that points to a file outside the extraction root, enabling arbitrary file read and write as the extracting user. Severity is high because the primitive bypasses path protections and turns archive extraction into a direct filesystem access primitive. This issue has been fixed in version 7.5.8.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Isaacs Tar
cpe:2.3:a:isaacs:tar:*:*:*:*:*:node.js:*:*
|
— |
7.5.8
|