Katalog CVE

CVE-2026-12565

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Moduł wewnętrzny unarchive nie wykonuje walidacji ścieżek plików podczas ekstrakcji archiwów, polegając na zewnętrznych narzędziach, co może prowadzić do nieautoryzowanego dostępu do systemu. W szczególności, na systemach z GNU tar < 1.34, złośliwe archiwum może zapisywać pliki poza zamierzonym katalogiem ekstrakcji.

Ocena ryzyka

Organizacje mogą być narażone na ataki, które wykorzystują luki w ekstrakcji archiwów, co może prowadzić do nieautoryzowanego dostępu do danych lub systemów. Potencjalne zagrożenie dotyczy systemów z określonymi wersjami GNU tar.

Rekomendacja

Zaleca się aktualizację GNU tar do wersji 1.34 lub nowszej oraz przeglądanie i ograniczanie dostępu do archiwów, aby zminimalizować ryzyko. Dodatkowo, warto wdrożyć mechanizmy walidacji ścieżek plików w procesie ekstrakcji.

Oryginalny opis (angielski, źródło NVD)

The unarchive internal module's archive extraction commands perform no code-level validation on extracted file paths, relying entirely on the behavior of external tools (e.g. GNU tar) which varies by platform. While CVE-2025-10284 addressed git-specific RCE vectors, the underlying archive extraction path traversal was never fixed. On systems with GNU tar < 1.34 (Ubuntu 20.04, Debian Buster, CentOS 7, many Docker base images), a malicious archive can write files outside the intended extraction directory.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS