Katalog CVE

CVE-2026-44705

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 38 - wyżej niż 38% wszystkich znanych CVE

Streszczenie

Pakiet tmp dla node.js przed wersją 0.2.6 zawierał podatność na przejście ścieżki, która pozwalała na ucieczkę z zamierzonego katalogu tymczasowego. Atakujący mogli wykorzystać sekwencje przejścia lub separatory ścieżek, aby tworzyć pliki w lokalizacjach kontrolowanych przez siebie.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do systemu plików, co może prowadzić do wycieku danych lub złośliwego oprogramowania. Aplikacje, które nie sanitizują danych wejściowych, są szczególnie zagrożone.

Rekomendacja

Zaleca się aktualizację pakietu tmp do wersji 0.2.6 lub nowszej oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych w aplikacjach korzystających z tego pakietu.

Oryginalny opis (angielski, źródło NVD)

tmp is a temporary file and directory creator for node.js. Prior to 0.2.6, the tmp npm package contains a path traversal vulnerability that allows escaping the intended temporary directory when untrusted data flows into the prefix, postfix, or dir options. By embedding traversal sequences (e.g., ../) or path separators in these parameters, attackers can cause files to be created outside the configured temporary base directory at attacker-controlled locations with the privileges of the running process. This vulnerability affects applications that pass user-controlled data to tmp's file/directory creation functions without proper input sanitization. This vulnerability is fixed in 0.2.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS