Vulnerabilidad en node-tar de isaacs (CVE-2026-29786)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

07/03/2026

Última modificación:

11/03/2026

Descripción

node-tar es una implementación completa de Tar para Node.js. Antes de la versión 7.5.10, se puede engañar a tar para que cree un enlace duro que apunte fuera del directorio de extracción utilizando un destino de enlace relativo a la unidad, como C:../target.txt, lo que permite la sobrescritura de archivos fuera del directorio de trabajo actual (cwd) durante la extracción normal de tar.x(). Este problema ha sido parcheado en la versión 7.5.10.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:L/SC:N/SI:H/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:L/SC:N/SI:H/SA:L

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Alto
Availability (SA): Bajo

Puntuación base 4.0

8.20

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno