CVE-2026-56876
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece extract-zip polega na braku walidacji celów dowiązań symbolicznych podczas rozpakowywania archiwów zip. Atakujący może dostarczyć złośliwy plik zip zawierający dowiązanie symboliczne ze ścieżką względną, np. '../../../../etc/passwd', co pozwala na wskazanie poza katalog docelowy. W zależności od sposobu użycia biblioteki, możliwy jest odczyt lub zapis dowolnych plików.
Ocena ryzyka
Ryzyko dla organizacji obejmuje potencjalną utratę poufności danych (odczyt wrażliwych plików) lub naruszenie integralności systemu (zapis do krytycznych plików). Atak może prowadzić do eskalacji uprawnień lub przejęcia kontroli nad aplikacją.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki extract-zip do wersji, która waliduje cele dowiązań symbolicznych. Jeśli aktualizacja nie jest dostępna, należy tymczasowo zaprzestać używania biblioteki do rozpakowywania archiwów z nieznanych źródeł.
Oryginalny opis (angielski, źródło NVD)
extract-zip does not validate symlink targets when extracting zip archives. When processing a malicious zip file containing a symlink with a relative path like '../../../../etc/passwd', extract-zip will extract the symlink without validation, allowing it to point outside the extraction directory. Depending on how extract-zip is used, an attacker could read or write to arbitrary files.

