Katalog CVE

CVE-2026-5223

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Cargo niewłaściwie obsługiwał dowiązania symboliczne wewnątrz archiwów tarball z paczkami pobranymi z zewnętrznych rejestrów, co pozwalało złośliwej paczce na nadpisanie kodu źródłowego innej paczki z tego samego rejestru. Podatność ma średni poziom zagrożenia dla użytkowników zewnętrznych rejestrów.

Ocena ryzyka

Organizacje korzystające z zewnętrznych rejestrów mogą być narażone na ataki, które wykorzystują złośliwe paczki do modyfikacji kodu źródłowego innych paczek. Użytkownicy crates.io nie są zagrożeni, ponieważ ten rejestr zabrania przesyłania paczek zawierających dowiązania symboliczne.

Rekomendacja

Zaleca się, aby użytkownicy zewnętrznych rejestrów byli ostrożni przy pobieraniu paczek i weryfikowali ich źródło. Można również rozważyć korzystanie z crates.io, aby uniknąć tego ryzyka.

Oryginalny opis (angielski, źródło NVD)

Cargo incorrectly handled symlinks inside of crate tarballs downloaded from third-party registries, allowing a malicious crate to override the source code of another crate from the same registry. The severity of the vulnerability is **medium** for users of third-party registries. Users of crates.io are **not affected**, as crates.io forbids uploading crates containing any symlink.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS