node-tar 后置链接漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1604046 漏洞类型 后置链接
发布时间 2019-04-30 更新时间 2019-09-05
CVE编号 CVE-2018-20834 CNNVD-ID CNNVD-201904-1356
漏洞平台 N/A CVSS评分 6.4
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-1356
|漏洞详情
node-tar是一款用于文件压缩/解压缩的软件包。 node-tar 4.4.2之前版本中存在后置链接漏洞。该漏洞源于网络系统或产品未正确过滤表示非预期资源的链接或者快捷方式的文件名。攻击者可利用该漏洞访问非法的文件路径。
|参考资料

来源:hackerone.com

链接:https://hackerone.com/reports/344595


来源:github.com

链接:https://github.com/npm/node-tar/compare/58a8d43...a5f7779


来源:github.com

链接:https://github.com/npm/node-tar/commit/b0c58433c22f5e7fe8b1c76373f27e3f81dcd4c8


来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2018-20834