概要
npm パッケージ nanotar(unjs 製)の バージョン 0.2.0 以下 に パストラバーサル 脆弱性 が 存在 します。parseTar() および parseTarGzip() 関数 で、tar アーカイブ 内 の ファイル パス に パストラバーサル シーケンス(../)が 含まれて いる 場合 に 適切 に 検証 されません。
攻撃者 は 細工 された tar アーカイブ を 処理 させる こと で、意図 された 展開 ディレクトリ の 外部 に 任意 の ファイル を 書き込む こと が できます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-22(パストラバーサル) |
影響 を 受ける ソフトウェア
| 製品 | 影響 条件 | 修正 バージョン |
|---|---|---|
| nanotar (npm) | 0.2.0 以下 | 修正バージョン要確認 |
修正 バージョン と 回避策
- nanotar の 最新 バージョン へ アップデート して ください
- tar アーカイブ の 展開 前 に ファイル パス の バリデーション を 行う こと も 有効 です
- 信頼 できない ソース から の tar ファイル を 処理 する 場合 は 特に 注意 が 必要 です
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。