关联漏洞
标题:Node-tar 路径 sanitization 漏洞 (CVE-2026-23745)描述:node-tar 是一个用于 Node.js 的 Tar 库。该库(版本 <= 7.5.2)在 `preservePaths` 设置为 `false`(默认的安全行为)时,未能对 Link(硬链接)和 SymbolicLink(符号链接)条目的 `linkpath` 进行过滤。这使得恶意归档文件可以绕过解压根目录的限制,从而通过硬链接导致任意文件覆盖,并通过绝对符号链接目标引发符号链接 poisoning(污染)问题。该漏洞已在 7.5.3 版本中得到修复。
描述
Proof of Concept for CVE-2026-23745: Arbitrary File Overwrite vulnerability in node-tar (versions < 7.5.3).
文件快照
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。