关键信息 标题: Insufficient Link Path Sanitization 严重性: High CVE ID: CVE-2026-23745 受影响的版本: <= 7.5.2 已修复版本: 7.5.3 CVSS v4 基础指标: - 严重性: 8.2/10 - 攻击向量: Local - 攻击复杂性: Low - 攻击需求: None - 需要的权限: None - 用户交互: Active - 机密性影响: High - 完整性影响: Low - 可用性影响: None 弱点: CWE-22 报告人: Jvr2022 描述 总结 库在处理 和 类型的条目时未能对 进行适当的清理,从而可能允许恶意tar可执行文件绕过默认的提取目录限制,进而导致敏感文件的覆盖(ccccFile Overwrite)和符号链接中毒(Symlink Poisoning)问题被触发。 详情 存在漏洞的代码位于 文件中,该文件中的 和 方法的实现上存在问题。 PoC PoC部分提供了用于生成一个恶意的TAR文件,这个文件包含硬链接到一个本地文件和符号链接到 ,然后通过常规的 解压缩示例来展示如何利用这个漏洞,通过确认secret文件被成功覆盖来验证漏洞。 影响 任意文件覆盖: 攻击者可以覆盖任何文件,只要提取过程可以访问它所在的位置,绕过基于路径的安全限制,例如root拥有的配置文件。 远程代码执行(RCE): 在CI/CD环境下或者自动化管道中,修改配置文件、脚本或二进制文件可以导致代码执行。虽然npm本身不受影响(过滤掉了链接条目),但受其影响的项目可能存在此风险。