CVE-2026-5223
ŚrednieCVSS 5.3Streszczenie
Cargo niewłaściwie obsługiwał dowiązania symboliczne wewnątrz archiwów tarball z paczkami pobranymi z zewnętrznych rejestrów, co pozwalało złośliwej paczce na nadpisanie kodu źródłowego innej paczki z tego samego rejestru. Podatność ma średni poziom zagrożenia dla użytkowników zewnętrznych rejestrów.
Ocena ryzyka
Organizacje korzystające z zewnętrznych rejestrów mogą być narażone na ataki, które wykorzystują złośliwe paczki do modyfikacji kodu źródłowego innych paczek. Użytkownicy crates.io nie są zagrożeni, ponieważ ten rejestr zabrania przesyłania paczek zawierających dowiązania symboliczne.
Rekomendacja
Zaleca się, aby użytkownicy zewnętrznych rejestrów byli ostrożni przy pobieraniu paczek i weryfikowali ich źródło. Można również rozważyć korzystanie z crates.io, aby uniknąć tego ryzyka.
Oryginalny opis (angielski, źródło NVD)
Cargo incorrectly handled symlinks inside of crate tarballs downloaded from third-party registries, allowing a malicious crate to override the source code of another crate from the same registry. The severity of the vulnerability is **medium** for users of third-party registries. Users of crates.io are **not affected**, as crates.io forbids uploading crates containing any symlink.

