Plataforma
nodejs
Componente
tar
Corregido en
2.0.0
La vulnerabilidad CVE-2015-8860 afecta a versiones de la herramienta tar anteriores a 2.0.0, específicamente en entornos que utilizan Node.js. Esta vulnerabilidad permite el acceso arbitrario de archivos debido a la falta de verificación de enlaces simbólicos durante la extracción. Un atacante podría aprovechar esta falla para escribir archivos fuera del directorio de extracción previsto, comprometiendo la integridad del sistema. Se recomienda actualizar a la versión 2.0.0 o posterior para solucionar este problema.
La principal consecuencia de esta vulnerabilidad es la posibilidad de que un atacante escriba archivos en ubicaciones arbitrarias dentro del sistema de archivos. Esto podría permitir la ejecución de código malicioso, la modificación de archivos de configuración críticos o el robo de información sensible. Un atacante podría, por ejemplo, sobrescribir un archivo de configuración del servidor web con una versión maliciosa, permitiendo la ejecución de código remoto. La falta de validación de los enlaces simbólicos facilita la manipulación del proceso de extracción, permitiendo al atacante controlar la ubicación final de los archivos extraídos. Esta vulnerabilidad comparte similitudes con otras fallas de acceso arbitrario de archivos, donde la falta de validación de la entrada del usuario permite la escritura fuera de los límites esperados.
La vulnerabilidad CVE-2015-8860 no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. La probabilidad de explotación se considera baja, ya que requiere un conocimiento específico de la herramienta tar y la capacidad de manipular los enlaces simbólicos. No se han reportado públicamente campañas de explotación activas dirigidas a esta vulnerabilidad. La información sobre esta vulnerabilidad se publicó inicialmente en 2017, lo que sugiere que ha sido ampliamente conocida y parcheada en la mayoría de los sistemas.
Systems that rely on tar for archiving and data transfer are at risk, particularly those using older versions of the utility. This includes build servers, automated deployment pipelines, and any environment where tar archives are processed without proper validation. Shared hosting environments where users can upload and extract tar archives are also particularly vulnerable.
• linux / server:
find / -name 'tar' -version 2>/dev/null | grep 'tar \([0-9.]*\)'• linux / server:
journalctl -u tar | grep -i 'error' # Check for extraction errors related to symbolic links• generic web: Inspect tar archives received from external sources for suspicious symbolic links. Look for links that point outside of the expected extraction directory.
discovery
disclosure
patch
Estado del Exploit
EPSS
0.37% (59% percentil)
Vector CVSS
La solución principal para mitigar CVE-2015-8860 es actualizar la herramienta tar a la versión 2.0.0 o posterior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir los permisos de escritura en el directorio de extracción y utilizar un entorno de ejecución con privilegios mínimos. En entornos Node.js, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten manipular los enlaces simbólicos. Es crucial revisar y fortalecer las políticas de seguridad del sistema para prevenir la explotación de esta vulnerabilidad.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2015-8860 is a vulnerability in tar versions before 2.0.0 that allows attackers to write files outside the intended extraction directory by exploiting symbolic link verification issues.
You are affected if you are using a version of tar older than 2.0.0. Check your tar version using tar --version.
Upgrade to tar version 2.0.0 or later to resolve this vulnerability. This fix properly validates symbolic link targets during extraction.
While no active campaigns have been definitively linked, public proof-of-concept exploits exist, increasing the risk of opportunistic exploitation.
Refer to the GNU tar project website for information and updates related to this vulnerability: https://www.gnu.org/software/tar/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.