Plataforma
nodejs
Componente
tar
Corrigido em
2.0.0
A vulnerabilidade CVE-2015-8860 é uma falha de acesso arbitrário de arquivos presente em versões do utilitário tar anteriores à 2.0.0. Essa falha ocorre devido à ausência de validação adequada de links simbólicos durante o processo de extração, permitindo que um atacante escreva arquivos em locais inesperados. A atualização para a versão 2.0.0 ou superior resolve essa vulnerabilidade.
Um atacante pode explorar essa vulnerabilidade para escrever arquivos em locais arbitrários no sistema de arquivos, potencialmente comprometendo a integridade e a confidencialidade dos dados. Isso pode incluir a sobrescrita de arquivos de configuração críticos, a inserção de código malicioso ou a obtenção de acesso não autorizado a informações sensíveis. A exploração bem-sucedida pode levar à execução remota de código, dependendo das permissões do usuário que executa o comando tar. Embora não haja relatos públicos de exploração ativa em larga escala, a natureza da vulnerabilidade a torna um alvo atraente para atacantes.
A vulnerabilidade CVE-2015-8860 foi divulgada em 2017. Não está listada no KEV da CISA. Embora não haja relatos de exploração ativa em campanhas direcionadas, a vulnerabilidade permanece relevante devido à sua facilidade de exploração e à presença de sistemas legados que ainda utilizam versões vulneráveis do tar. A existência de um Proof of Concept (PoC) público aumenta o risco de exploração.
Systems that rely on tar for archiving and data transfer are at risk, particularly those using older versions of the utility. This includes build servers, automated deployment pipelines, and any environment where tar archives are processed without proper validation. Shared hosting environments where users can upload and extract tar archives are also particularly vulnerable.
• linux / server:
find / -name 'tar' -version 2>/dev/null | grep 'tar \([0-9.]*\)'• linux / server:
journalctl -u tar | grep -i 'error' # Check for extraction errors related to symbolic links• generic web: Inspect tar archives received from external sources for suspicious symbolic links. Look for links that point outside of the expected extraction directory.
discovery
disclosure
patch
Status do Exploit
EPSS
0.37% (percentil 59%)
Vetor CVSS
A mitigação primária para CVE-2015-8860 é a atualização para a versão 2.0.0 ou superior do utilitário tar. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de segurança adicionais, como restringir as permissões do usuário que executa o comando tar e monitorar o sistema de arquivos em busca de atividades suspeitas. A utilização de um Web Application Firewall (WAF) pode ajudar a bloquear solicitações maliciosas que tentam explorar essa vulnerabilidade. Não existe um patch de rollback, a atualização é a solução definitiva.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2015-8860 is a vulnerability in tar versions before 2.0.0 that allows attackers to write files outside the intended extraction directory by exploiting symbolic link verification issues.
You are affected if you are using a version of tar older than 2.0.0. Check your tar version using tar --version.
Upgrade to tar version 2.0.0 or later to resolve this vulnerability. This fix properly validates symbolic link targets during extraction.
While no active campaigns have been definitively linked, public proof-of-concept exploits exist, increasing the risk of opportunistic exploitation.
Refer to the GNU tar project website for information and updates related to this vulnerability: https://www.gnu.org/software/tar/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.