← volver
CVE-2020-36193

CVE-2020-36193

CVSS 7.5 HIGHEPSS 70.6%● KEVCWE-59
En resumen

La biblioteca Archive_Tar no valida adecuadamente los enlaces simbólicos al extraer archivos tar, permitiendo que atacantes escriban archivos fuera del directorio deseado. Esto podría permitir sobrescribir archivos importantes del sistema o inyectar código malicioso.

Detalle técnico

Archive_Tar versiones ≤1.4.11 es vulnerable a directory traversal debido a la validación inadecuada de enlaces simbólicos durante la extracción de archivos tar. Un atacante con un archivo tar manipulado puede explotar esto para escribir archivos en ubicaciones arbitrarias del sistema de archivos, eludiendo los límites de extracción previstos y comprometiendo la integridad del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
Tar.php in Archive_Tar through 1.4.11 allows write operations with Directory Traversal due to inadequate checking of symbolic links, a related issue to CVE-2020-28948.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/pear/Archive_Tar/commit/cde460582ff389404b5b3ccb59374e9b389de916https://lists.debian.org/debian-lts-announce/2021/01/msg00018.htmlhttps://lists.debian.org/debian-lts-announce/2021/04/msg00007.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/42GPGVVFTLJYAKRI75IVB5R45NYQGEUR/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FOZNK4FIIV7FSFCJNNFWMJZTTV7NFJV2/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VJQQYDAOWHD6RDITDRPHFW7WY6BS3V5N/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YKD5WEFA4WT6AVTMRAYBNXZNLWZHM7FH/https://security.gentoo.org/glsa/202101-23https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-36193https://www.debian.org/security/2021/dsa-4894https://www.drupal.org/sa-core-2021-001