Platform
nodejs
Component
tar
Opgelost in
4.4.17
5.0.1
6.0.1
4.4.16
CVE-2021-37701 is an Arbitrary File Access vulnerability discovered in the node-tar package. This flaw allows attackers to potentially create, overwrite, or even execute arbitrary code by exploiting how the package handles symbolic links within tar archives. The vulnerability arises from insufficient validation when extracting tar files containing both a directory and a symlink with the same name. A fix is available in version 4.4.16.
De CVE-2021-37701-kwetsbaarheid in node-tar maakt het mogelijk om willekeurige bestanden te creëren, bestaande bestanden te overschrijven en willekeurige code uit te voeren. node-tar probeert te garanderen dat geen enkel bestand wordt geëxtraheerd waarvan de locatie zou worden gewijzigd door een symbolische link, en vermijdt onnodige stat-aanroepen door de paden van de mappen in de cache op te slaan. Deze logica was echter onvoldoende bij het extraheren van tar-bestanden die paden bevatten met componenten van nul lengte of paden die eindigen op componenten van nul lengte. Dit stelde een aanvaller in staat om het doelpad van de geëxtraheerde bestanden te controleren, wat kan leiden tot de uitvoering van kwaadaardige code of de wijziging van kritieke systeembestanden. De CVSS-severity score is 8,2, wat een hoog risico aangeeft.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadaardig tar-bestand te maken dat paden bevat met componenten van nul lengte of paden die eindigen op componenten van nul lengte. Door dit kwaadaardige tar-bestand te extraheren met behulp van een kwetsbare versie van node-tar, kan de aanvaller het doelpad van de geëxtraheerde bestanden controleren, waardoor ze bestanden op onverwachte locaties kunnen maken, bestaande bestanden kunnen overschrijven of kwaadaardige code kunnen uitvoeren. Voor exploitatie is toegang vereist tot het systeem waarop de code wordt uitgevoerd die node-tar gebruikt en de mogelijkheid om een kwaadaardig tar-bestand te verstrekken.
Exploit Status
EPSS
0.11% (30% percentiel)
CVSS-vector
De belangrijkste mitigatie voor CVE-2021-37701 is het upgraden naar versie 4.4.16 of hoger van node-tar. Deze versie corrigeert de kwetsbaarheid door bestandspaden met componenten van nul lengte correct te verwerken. Als een upgrade niet onmiddellijk mogelijk is, vermijd dan het extraheren van tar-bestanden uit onbetrouwbare bronnen. Controleer bovendien de code van uw applicatie om potentiële gevolgen van de kwetsbaarheid te identificeren en te verzachten. Het is ook aan te raden om systemen te monitoren op verdachte activiteiten in verband met het extraheren van tar-bestanden.
Actualice el paquete 'tar' a la versión 4.4.16, 5.0.8 o 6.1.7, o superior. Esto solucionará la vulnerabilidad de creación/sobreescritura arbitraria de archivos debido a la protección insuficiente de enlaces simbólicos. Si está utilizando la versión 3, actualice a una versión más reciente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE staat voor Common Vulnerabilities and Exposures (Algemene kwetsbaarheden en blootstellingen). Het is een woordenboek van bekende softwarebeveiligingskwetsbaarheden.
De update corrigeert een kwetsbaarheid waardoor een aanvaller mogelijk kwaadaardige code op uw systeem kan uitvoeren.
Vermijd het extraheren van tar-bestanden uit onbetrouwbare bronnen en controleer uw code op mogelijke gevolgen.
Er zijn malware-analysep tools die kunnen helpen bij het detecteren van kwaadaardige tar-bestanden, maar ze zijn niet waterdicht.
Controleer de versie van node-tar die u gebruikt. Als deze ouder is dan 4.4.16, bent u kwetsbaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.