Зарф — менеджер по сборке пакетов Airgap для Kubernetes. Начиная с версии 0.54.0 и до версии 0.73.1, уязвимость обхода пути при извлечении архива позволяет специально созданному пакету Zarf создавать символические ссылки, указывающие за пределы каталога назначения, что позволяет читать или записывать произвольные файлы в системе, обрабатывающей пакет. Эта проблема исправлена в версии 0.73.1.
Показать оригинальное описание (EN)
Zarf is an Airgap Native Packager Manager for Kubernetes. From version 0.54.0 to before version 0.73.1, a path traversal vulnerability in archive extraction allows a specifically crafted Zarf package to create symlinks pointing outside the destination directory, enabling arbitrary file read or write on the system processing the package. This issue has been patched in version 0.73.1.
Характеристики атаки
Последствия
Строка CVSS v3.1