CVE-2026-43623
HighCVSS 8.8Summary
Wersja microtar do 0.1.0 zawiera podatność typu przepełnienie bufora na stosie w funkcji raw_to_header() w pliku src/microtar.c. Umożliwia to atakującym uszkodzenie sąsiedniej pamięci stosu poprzez dostarczenie spreparowanego archiwum TAR z polami name lub linkname, które nie są zakończone znakiem null.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do pamięci oraz potencjalnego wykonania złośliwego kodu, co stanowi poważne zagrożenie dla integralności systemu.
Recommendation
Zaleca się aktualizację do najnowszej wersji microtar, aby usunąć tę podatność oraz weryfikację archiwów TAR przed ich przetwarzaniem.
Original NVD description (English source)
microtar through 0.1.0 contains a stack-based buffer overflow vulnerability in the raw_to_header() function in src/microtar.c that allows attackers to corrupt adjacent stack memory by supplying a crafted TAR archive with non-null-terminated name or linkname fields. The function uses strcpy() to copy 100-byte ustar format fields that lack null terminators, causing writes of up to 355 bytes into a 100-byte destination buffer when mtar_open(), mtar_find(), or mtar_read_header() process attacker-supplied TAR archives.

