Vulnerabilidad en astral-tokio-tar (CVE-2026-32766)
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/03/2026
Última modificación:
20/03/2026
Descripción
astral-tokio-tar es una biblioteca de lectura/escritura de archivos tar para Rust asíncrono. En las versiones 0.5.6 y anteriores, las extensiones PAX malformadas se omitían silenciosamente al analizar archivos tar. Esta omisión silenciosa (en lugar de rechazo) de extensiones PAX no válidas podría usarse como un bloque de construcción para un diferencial de analizador, por ejemplo, omitiendo silenciosamente una extensión GNU 'long link' malformada para que un analizador posterior malinterpretara la extensión. En la práctica, explotar este comportamiento en astral-tokio-tar requiere un analizador tar secundario con comportamiento incorrecto, es decir, uno que valide insuficientemente las extensiones PAX malformadas y las interprete en lugar de omitirlas o generar un error por ellas. Esta vulnerabilidad se considera de baja gravedad ya que requiere una vulnerabilidad separada contra cualquier analizador tar no relacionado. Este problema ha sido corregido en la versión 0.6.0.