anonhaven

CVE-2026-27704

MEDIUM CVSS 4.0: 6,6 EPSS 0.07%
Обновлено 25 февраля 2026
Параметр Значение
CVSS 6,6 (MEDIUM)
Уязвимые версии до 3.11.0
Тип уязвимости CWE-22 (Обход пути)
Публичный эксплойт Нет

SDK Dart и Flutter предоставляют комплекты разработки программного обеспечения для языка программирования Dart. В версиях Dart SDK до 3.11.0 и Flutter SDK до версии 3.41.0, когда клиент публикации («dart pub» и «flutter pub») извлекает пакет в кэш публикации, архив вредоносного пакета может содержать файлы, извлеченные за пределами каталога назначения в «PUB_CACHE». Исправление было добавлено в коммит 26c6985c742593d081f8b58450f463a584a4203a.

Нормализуя путь к файлу перед записью файла, злоумышленник больше не сможет перейти по символической ссылке. Этот патч выпущен в версиях Dart 3.11.0 и Flutter 3.41.0.v. Все пакеты на pub.dev были проверены на наличие этой уязвимости.

Новые пакеты больше не могут содержать символические ссылки. Сам клиент паба не загружает символические ссылки, а дублирует связанную запись и делает это уже много лет. Эта уязвимость не затрагивает тех, чьи зависимости взяты из pub.dev, сторонних репозиториев, которым доверяют, что они не содержат вредоносный код, или зависимостей git.

Показать оригинальное описание (EN)

The Dart and Flutter SDKs provide software development kits for the Dart programming language. In versions of the Dart SDK prior to 3.11.0 and the Flutter SDK prior to version 3.41.0, when the pub client (`dart pub` and `flutter pub`) extracts a package in the pub cache, a malicious package archive can have files extracted outside the destination directory in the `PUB_CACHE`. A fix has been landed in commit 26c6985c742593d081f8b58450f463a584a4203a. By normalizing the file path before writing file, the attacker can no longer traverse up via a symlink. This patch is released in Dart 3.11.0 and Flutter 3.41.0.vAll packages on pub.dev have been vetted for this vulnerability. New packages are no longer allowed to contain symlinks. The pub client itself doesn't upload symlinks, but duplicates the linked entry, and has been doing this for years. Those whose dependencies are all from pub.dev, third-party repositories trusted to not contain malicious code, or git dependencies are not affected by this vulnerability.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-22 Path Traversal (Обход пути)

Ссылки 2

https://github.com/dart-lang/pub/commit/26c6985c742593d081f8b58450f463a584a4203a
security-advisories@github.com
https://github.com/dart-lang/sdk/security/advisories/GHSA-q739-79rh-vmvp
security-advisories@github.com
Share Post Share Share Share