CVE-2020-36193
CVE-2020-36193
Em resumo
A biblioteca Archive_Tar não valida adequadamente links simbólicos ao extrair arquivos tar, permitindo que atacantes gravem arquivos fora do diretório pretendido. Isso pode permitir sobrescrever arquivos importantes do sistema ou injetar código malicioso.
Detalhe técnico
Archive_Tar versões ≤1.4.11 é vulnerável a directory traversal devido à validação inadequada de links simbólicos durante a extração de arquivos tar. Um atacante com um arquivo tar malformado pode explorar isso para gravar arquivos em locais arbitrários do sistema de arquivos, contornando os limites de extração e comprometendo a integridade do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Tar.php in Archive_Tar through 1.4.11 allows write operations with Directory Traversal due to inadequate checking of symbolic links, a related issue to CVE-2020-28948.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/pear/Archive_Tar/commit/cde460582ff389404b5b3ccb59374e9b389de916https://lists.debian.org/debian-lts-announce/2021/01/msg00018.htmlhttps://lists.debian.org/debian-lts-announce/2021/04/msg00007.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/42GPGVVFTLJYAKRI75IVB5R45NYQGEUR/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FOZNK4FIIV7FSFCJNNFWMJZTTV7NFJV2/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VJQQYDAOWHD6RDITDRPHFW7WY6BS3V5N/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YKD5WEFA4WT6AVTMRAYBNXZNLWZHM7FH/https://security.gentoo.org/glsa/202101-23https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-36193https://www.debian.org/security/2021/dsa-4894https://www.drupal.org/sa-core-2021-001