关键信息 漏洞标题: Race Condition in node-tar Path Reservations via Unicode Ligature Collisions on macOS APFS CVE ID: CVE-2026-23950 受影响版本: <= 7.5.3 已修复版本: 7.5.4 严重性: 8.8/10 (High) CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂性: 低 - 所需特权: 无 - 用户交互: 需要 - 作用范围: 已更改 - 机密性: 低 - 完整性: 高 - 可用性: 低 弱点: CWE-176, CWE-362, CWE-367 报告者: Tomás Illuminati 描述 漏洞类型: 赛车条件 详细信息: 在 的路径保留系统中,由于Unicode路径碰撞处理不完整,导致文件系统中 ( ) 在大小写不敏感或标准化不敏感的文件系统中路径冲突未被正确锁定,允许并发处理,从而绕过内部并发保护,并允许通过竞争条件进行符号链接中毒攻击。 证明概念(PoC) 提供了JavaScript代码展示如何利用 核心库 和 来构建恶意tar包,展示可在文件系统中创建冲突文件名。 影响 赛车条件允许任意文件覆盖,基于使用NFD Unicode规范化,冲突路径文件在不保持顺序的文件系统中会导致inode碰撞,允许攻击者通过冲突文件名绕过内部并行化锁。 修复方案 更新 使用与目标文件系统行为匹配的规范化形式(如NFKD),接着使用 和 。 还建议不能立即升级的用户通过过滤符号链接项来防御任意文件写入。