CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-5223

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Summary

Cargo niewłaściwie obsługiwał dowiązania symboliczne wewnątrz archiwów tarball z paczkami pobranymi z zewnętrznych rejestrów, co pozwalało złośliwej paczce na nadpisanie kodu źródłowego innej paczki z tego samego rejestru. Podatność ma średni poziom zagrożenia dla użytkowników zewnętrznych rejestrów.

Risk Assessment

Organizacje korzystające z zewnętrznych rejestrów mogą być narażone na ataki, które wykorzystują złośliwe paczki do modyfikacji kodu źródłowego innych paczek. Użytkownicy crates.io nie są zagrożeni, ponieważ ten rejestr zabrania przesyłania paczek zawierających dowiązania symboliczne.

Recommendation

Zaleca się, aby użytkownicy zewnętrznych rejestrów byli ostrożni przy pobieraniu paczek i weryfikowali ich źródło. Można również rozważyć korzystanie z crates.io, aby uniknąć tego ryzyka.

Original NVD description (English source)

Cargo incorrectly handled symlinks inside of crate tarballs downloaded from third-party registries, allowing a malicious crate to override the source code of another crate from the same registry. The severity of the vulnerability is **medium** for users of third-party registries. Users of crates.io are **not affected**, as crates.io forbids uploading crates containing any symlink.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS