CVE-2026-12565
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Moduł wewnętrzny unarchive nie wykonuje walidacji ścieżek plików podczas ekstrakcji archiwów, polegając na zewnętrznych narzędziach, co może prowadzić do nieautoryzowanego dostępu do systemu. W szczególności, na systemach z GNU tar < 1.34, złośliwe archiwum może zapisywać pliki poza zamierzonym katalogiem ekstrakcji.
Ocena ryzyka
Organizacje mogą być narażone na ataki, które wykorzystują luki w ekstrakcji archiwów, co może prowadzić do nieautoryzowanego dostępu do danych lub systemów. Potencjalne zagrożenie dotyczy systemów z określonymi wersjami GNU tar.
Rekomendacja
Zaleca się aktualizację GNU tar do wersji 1.34 lub nowszej oraz przeglądanie i ograniczanie dostępu do archiwów, aby zminimalizować ryzyko. Dodatkowo, warto wdrożyć mechanizmy walidacji ścieżek plików w procesie ekstrakcji.
Oryginalny opis (angielski, źródło NVD)
The unarchive internal module's archive extraction commands perform no code-level validation on extracted file paths, relying entirely on the behavior of external tools (e.g. GNU tar) which varies by platform. While CVE-2025-10284 addressed git-specific RCE vectors, the underlying archive extraction path traversal was never fixed. On systems with GNU tar < 1.34 (Ubuntu 20.04, Debian Buster, CentOS 7, many Docker base images), a malicious archive can write files outside the intended extraction directory.

