UNKNOWNCVE-2026-23950
CVE-2026-23950: Race Condition en node-tar (Path Collisions)
Plataforma
nodejs
Componente
tar
Corregido en
7.5.4
CVE-2026-23950 describe una vulnerabilidad de condición de carrera en la biblioteca node-tar. Esta vulnerabilidad se produce debido al manejo incompleto de colisiones de rutas Unicode, permitiendo que se procesen rutas en paralelo. La versión afectada es la 7.5.3. La versión 7.5.4 corrige esta vulnerabilidad.
Cómo corregirlo
Actualice la dependencia `node-tar` a la versión 7.5.4 o superior. Si no puede actualizar inmediatamente, filtre las entradas de tipo `SymbolicLink` al extraer archivos tar para mitigar el riesgo de escritura arbitraria de archivos.
Preguntas frecuentes
¿Qué es CVE-2026-23950?
Es una vulnerabilidad de condición de carrera en node-tar que permite eludir las protecciones de concurrencia.
¿Estoy afectado por CVE-2026-23950?
Si utilizas node-tar en la versión 7.5.3, es posible que seas vulnerable.
¿Cómo puedo solucionar CVE-2026-23950?
Actualiza a la versión 7.5.4 de node-tar para corregir la vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis