CVE-2026-53655
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece node-tar (przed wersją 7.5.16) polega na nieprawidłowym przetwarzaniu rozszerzonych nagłówków PAX. Biblioteka błędnie stosuje nadpisanie rozmiaru z nagłówka PAX do pośrednich nagłówków metadanych (np. GNU long-name), co powoduje desynchronizację strumienia danych względem innych implementacji tara. Umożliwia to stworzenie archiwum, które jest różnie interpretowane przez różne narzędzia.
Ocena ryzyka
Atakujący może ukryć złośliwy plik przed skanerem bezpieczeństwa, który używa jednej biblioteki, podczas gdy ekstraktor używa innej. Prowadzi to do ominięcia wykrywania malware'u lub sekretów w archiwach tar.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę node-tar do wersji 7.5.16 lub nowszej. W przypadku braku możliwości aktualizacji, należy unikać używania node-tar do przetwarzania archiwów pochodzących z nieufnych źródeł.
Oryginalny opis (angielski, źródło NVD)
node-tar is a full-featured Tar for Node.js. Prior to 7.5.16, tar (node-tar) applies a PAX extended header's size= record (and other PAX overrides) to the next header entry of any type, including intermediary metadata headers such as a GNU long-name (L) or long-link (K) entry. Per POSIX pax, a PAX extended header (x) describes the next file entry, not the intermediary extension headers that may sit between the x header and the file it annotates. Because node-tar lets the PAX size override the byte length of an intervening L/K/x header, an attacker can desynchronize node-tar's stream cursor relative to every other mainstream tar implementation (GNU tar, libarchive/bsdtar, Python tarfile, and the now-fixed tar-rs / astral-tokio-tar). The result is a tar parser interpretation differential (CWE-436): a single crafted archive yields a different set of members under node-tar than under the reference tar tools. An attacker can use this to hide a member from one parser while it is visible to another, which defeats security tooling whose scanner and extractor disagree on archive contents (e.g. a malware/secret scanner that lists entries with one library while a downstream step extracts with another) This vulnerability is fixed in 7.5.16.

