製品・ソフトウェアに関する情報
Vulnerability Search
Archive::Tar projectのArchive::Tarにおけるリンク解釈に関する脆弱性
Title Archive::Tar projectのArchive::Tarにおけるリンク解釈に関する脆弱性
Summary

Perl用のArchive::Tarバージョン3.08未満では、シンボリックリンクを抽出する際に、攻撃者が制御するターゲットが抽出ディレクトリの外部にある可能性があります。_make_special_file()は、tarヘッダーのlinknameをsymlink()に渡しますが、絶対パスや「..」セグメントに対する検証を行いません。通常のファイル抽出を保護するsecure-extractモードのチェックは、シンボリックリンクのターゲットには適用されません。そのため、抽出された名前を通じてファイルを開くと、攻撃者が選択したパスの読み取りまたは書き込みが可能になります。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 26, 2026, midnight
Registration Date May 29, 2026, 11:20 a.m.
Last Update May 29, 2026, 11:20 a.m.
CVSS3.0 : 緊急
Score 9.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Affected System
Archive::Tar project
Archive::Tar 3.08 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年05月29日]
  掲載		 May 29, 2026, 11:20 a.m.
NVD Vulnerability Information
CVE-2026-42496
Summary

Archive::Tar versions before 3.08 for Perl extract symlinks with attacker controlled targets outside the extraction directory.

_make_special_file() passes the tar header's linkname to symlink() without validating it against absolute paths or .. segments. The secure-extract mode check that guards regular file extraction does not cover the symlink target.

A subsequent open through the extracted name reads or writes the attacker chosen path.

Publication Date May 26, 2026, 11:16 a.m.
Registration Date May 27, 2026, 4:08 a.m.
Last Update May 28, 2026, 11:16 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:archive\:\:tar_project:archive\:\:tar:*:*:*:*:*:perl:*:* 3.08
Related information, measures and tools
Common Vulnerabilities List
CVE-2026-42497
Summary

Archive::Tar versions before 3.08 for Perl extract hardlinks to attacker controlled paths outside the extraction directory.

_make_special_file() passes the tar header's linkname to link() without validating it against absolute paths or .. segments, creating a hardlink that shares the victim file's inode.

A subsequent write through the extracted name modifies the victim file, and the post-extraction chmod, chown, and utime block in _extract_file() (guarded only against symlinks via -l) applies the tar header's mode, owner, and timestamps to the shared inode during extraction alone.

Publication Date May 26, 2026, 11:16 a.m.
Registration Date May 27, 2026, 4:08 a.m.
Last Update May 28, 2026, 11:16 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:archive\:\:tar_project:archive\:\:tar:*:*:*:*:*:perl:*:* 3.08
Related information, measures and tools
Common Vulnerabilities List