node-tar — это полнофункциональный Tar для Node.js. До версии 7.5.10 tar можно было обманом заставить создать жесткую ссылку, указывающую за пределы каталога извлечения, используя цель ссылки относительно диска, например C:../target.txt, которая позволяет перезаписывать файл за пределами cwd во время обычного извлечения tar.x(). Эта проблема исправлена в версии 7.5.10.
Показать оригинальное описание (EN)
node-tar is a full-featured Tar for Node.js. Prior to version 7.5.10, tar can be tricked into creating a hardlink that points outside the extraction directory by using a drive-relative link target such as C:../target.txt, which enables file overwrite outside cwd during normal tar.x() extraction. This issue has been patched in version 7.5.10.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0