CVE-2026-56876
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
Biblioteka extract-zip nie weryfikuje celów dowiązań symbolicznych podczas rozpakowywania archiwów zip. Podczas przetwarzania złośliwego pliku zip zawierającego dowiązanie symboliczne ze ścieżką względną, taką jak '../../../../etc/passwd', extract-zip rozpakowuje dowiązanie bez walidacji, co pozwala mu wskazywać poza katalog docelowy. W zależności od sposobu użycia extract-zip, atakujący może odczytać lub zapisać dowolne pliki.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do wrażliwych plików systemowych lub zapisu złośliwych danych poza docelowym katalogiem, co może prowadzić do naruszenia poufności, integralności lub dostępności systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki extract-zip do najnowszej wersji, która zawiera poprawkę walidacji dowiązań symbolicznych. Jeśli aktualizacja nie jest dostępna, należy tymczasowo zaprzestać używania extract-zip do rozpakowywania archiwów z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
extract-zip does not validate symlink targets when extracting zip archives. When processing a malicious zip file containing a symlink with a relative path like '../../../../etc/passwd', extract-zip will extract the symlink without validation, allowing it to point outside the extraction directory. Depending on how extract-zip is used, an attacker could read or write to arbitrary files.

