NVD Vulnerability Detail

CVE-2026-5704

Summary	A flaw was found in tar. A remote attacker could exploit this vulnerability by crafting a malicious archive, leading to hidden file injection with fully attacker-controlled content. This bypasses pre-extraction inspection mechanisms, potentially allowing an attacker to introduce malicious files onto a system without detection.
Publication Date	April 7, 2026, 1:16 a.m.
Registration Date	April 15, 2026, 11:27 a.m.
Last Update	April 23, 2026, 5:08 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:gnu:tar:-:::::::*
cpe:2.3:a:redhat:hardened_images:-:::::::*
cpe:2.3:o:redhat:enterprise_linux:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:9.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:10.0:::::::*

Related information, measures and tools

No	URL	refsource
1	https://access.redhat.com/security/cve/CVE-2026-5704	secalert@redhat.com
2	https://bugzilla.redhat.com/show_bug.cgi?id=2455360	secalert@redhat.com
3	http://www.openwall.com/lists/oss-security/2026/04/11/10	af854a3a-2127-422b-91ae-364da2661108
4	http://www.openwall.com/lists/oss-security/2026/04/11/11	af854a3a-2127-422b-91ae-364da2661108
5	http://www.openwall.com/lists/oss-security/2026/04/12/2	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-434	危険なタイプのファイルの無制限アップロード	https://cwe.mitre.org/data/definitions/434.html

JVN Vulnerability Information

GNU Project等の複数ベンダの製品における危険なタイプのファイルの無制限アップロードに関する脆弱性

Title	GNU Project等の複数ベンダの製品における危険なタイプのファイルの無制限アップロードに関する脆弱性
Summary	tarに脆弱性が発見されました。リモートの攻撃者は、悪意のあるアーカイブを細工することでこの脆弱性を悪用でき、攻撃者が完全に制御する内容を持つ隠しファイルを注入できます。これにより、事前の抽出検査機構を回避し、攻撃者が検出されずにシステムに悪意のあるファイルを導入する可能性があります。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 6, 2026, midnight
Registration Date	April 24, 2026, 11:40 a.m.
Last Update	April 24, 2026, 11:40 a.m.

Affected System

レッドハット

Red Hat Enterprise Linux 10.0

Red Hat Enterprise Linux 6.0

Red Hat Enterprise Linux 7.0

Red Hat Enterprise Linux 8.0

Red Hat Enterprise Linux 9.0

Red Hat Hardened Images

GNU Project

GNU tar

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-5704	https://www.cve.org/CVERecord?id=CVE-2026-5704
National Vulnerability Database (NVD)
2	CVE-2026-5704	https://nvd.nist.gov/vuln/detail/CVE-2026-5704
Red Hat Customer Portal
3	CVE-2026-5704 - Red Hat Customer Portal	https://access.redhat.com/security/cve/CVE-2026-5704

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-434	https://cwe.mitre.org/data/definitions/434.html

ベンダー情報

No	Name	URL
Openwall mailing list archives
1	oss-security - GNU tar: listing/extraction desynchronization allows hidden file injection	http://www.openwall.com/lists/oss-security/2026/04/11/10
2	oss-security - Re: GNU tar: listing/extraction desynchronization allows hidden file injection (11)	http://www.openwall.com/lists/oss-security/2026/04/11/11
3	oss-security - Re: GNU tar: listing/extraction desynchronization allows hidden file injection (2)	http://www.openwall.com/lists/oss-security/2026/04/12/2
Red Hat Bugzilla
4	2455360 (CVE-2026-5704) CVE-2026-5704 tar: tar: Hidden file injection via crafted archives	https://bugzilla.redhat.com/show_bug.cgi?id=2455360

Change Log

No	Changed Details	Date of change
1	[2026年04月24日] 掲載	April 24, 2026, 11:40 a.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:gnu:tar:-:::::::*
cpe:2.3:a:redhat:hardened_images:-:::::::*
cpe:2.3:o:redhat:enterprise_linux:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:9.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:10.0:::::::*