Katalog CVE

CVE-2026-11940

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.60%

Percentyl 44 — wyżej niż 44% wszystkich znanych CVE

Streszczenie

Podatność w funkcji tarfile.extractall() z filtrem 'data' lub 'tar' pozwala na ominięcie zabezpieczeń przez spreparowane archiwum, w którym dowiązanie twarde odwołuje się do dowiązania symbolicznego znajdującego się głębiej w strukturze archiwum. Mechanizm walidacji sprawdza dowiązanie symboliczne w jego oryginalnej lokalizacji, ale odtwarza je w płytszej ścieżce dowiązania twardego, co umożliwia ucieczkę poza docelowy katalog.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do odczytu lub zapisu plików poza docelowym katalogiem, co może prowadzić do naruszenia poufności danych lub nieautoryzowanej modyfikacji systemu.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Pythona do wersji zawierającej poprawkę dla CVE-2026-11940. Do czasu aktualizacji unikać używania funkcji extractall() z filtrami 'data' lub 'tar' na niezaufanych archiwach.

Oryginalny opis (angielski, źródło NVD)

tarfile.extractall() with the 'data' or 'tar' filter could be bypassed by a crafted archive where a hardlink references a symlink stored at a deeper name than the hardlink itself.  The extraction fallback validated the symlink at it's archived location but recreated it at the hardlink's shallower path, letting a relative target the filter judged contained escape the destination directory.  This allowed a malicious tar archive to create a symlink pointing outside the destination, enabling out-of-destination file reads or writes. This was an incomplete fix of CVE-2025-4330.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS