CVE-2026-5223
MediumCVSS 5.3Summary
Cargo niewłaściwie obsługiwał dowiązania symboliczne wewnątrz archiwów tarball z paczkami pobranymi z zewnętrznych rejestrów, co pozwalało złośliwej paczce na nadpisanie kodu źródłowego innej paczki z tego samego rejestru. Podatność ma średni poziom zagrożenia dla użytkowników zewnętrznych rejestrów.
Risk Assessment
Organizacje korzystające z zewnętrznych rejestrów mogą być narażone na ataki, które wykorzystują złośliwe paczki do modyfikacji kodu źródłowego innych paczek. Użytkownicy crates.io nie są zagrożeni, ponieważ ten rejestr zabrania przesyłania paczek zawierających dowiązania symboliczne.
Recommendation
Zaleca się, aby użytkownicy zewnętrznych rejestrów byli ostrożni przy pobieraniu paczek i weryfikowali ich źródło. Można również rozważyć korzystanie z crates.io, aby uniknąć tego ryzyka.
Original NVD description (English source)
Cargo incorrectly handled symlinks inside of crate tarballs downloaded from third-party registries, allowing a malicious crate to override the source code of another crate from the same registry. The severity of the vulnerability is **medium** for users of third-party registries. Users of crates.io are **not affected**, as crates.io forbids uploading crates containing any symlink.

