node-tar has Arbitrary File Read/Write via Hardlink Target Escape Through Symlink Chain in Extraction — CVE-2026-26960

Résumé

Avis CVE-2026-26960. node-tar has Arbitrary File Read/Write via Hardlink Target Escape Through Symlink Chain in Extraction Fournisseur : Microsoft. Source : MSRC. Risque : high. CVSS 7.1. Consultez la source officielle pour les détails.

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

• Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
• Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
• Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
• Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Lire la source officielle

Avis associés

• btrfs: reject new transactions if the fs is fully read-only CVE-2026-23214
• bus: fsl-mc: fix use-after-free in driver_override_show() CVE-2026-23221
• crypto: iaa - Fix out-of-bounds index in find_empty_iaa_compression_mode CVE-2025-71231
• crypto: virtio - Add spinlock protection with virtqueue notification CVE-2026-23229
• drm/amd/pm: Disable MMIO access during SMU Mode 1 reset CVE-2026-23213
• drm/exynos: vidi: use ctx->lock to protect struct vidi_context member variables related to memory alloc/free CVE-2026-23227
• ksmbd: add chann_lock to protect ksmbd_chann_list xarray CVE-2026-23226
• LoongArch: Set correct protection_map[] for VM_NONE/VM_SHARED CVE-2025-71228
• md: suspend array while updating raid_disks via sysfs CVE-2025-71225
• PCI: endpoint: Avoid creating sub-groups asynchronously CVE-2025-71233
• scsi: qla2xxx: Validate sp before freeing associated memory CVE-2025-71236
• scsi: target: iscsi: Fix use-after-free in iscsit_dec_conn_usage_count() CVE-2026-23216