node-tar — это полнофункциональный Tar для Node.js. До версии 7.5.11 tar (npm) можно было обманом заставить создать символическую ссылку, которая указывает за пределы каталога извлечения, используя целевую символическую ссылку, относящуюся к диску, например C:../../../target.txt, которая позволяет перезаписывать файл за пределами cwd во время обычного извлечения tar.x(). Эта уязвимость исправлена в версии 7.5.11.
Показать оригинальное описание (EN)
node-tar is a full-featured Tar for Node.js. Prior to version 7.5.11, tar (npm) can be tricked into creating a symlink that points outside the extraction directory by using a drive-relative symlink target such as C:../../../target.txt, which enables file overwrite outside cwd during normal tar.x() extraction. This vulnerability is fixed in 7.5.11.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Isaacs Tar
cpe:2.3:a:isaacs:tar:*:*:*:*:*:node.js:*:*
|
— |
7.5.11
|