JVNDB-2026-021261 | |
isaacsのnode-tarにおける解釈の競合に関する脆弱性 | |
| 概要 | |
node-tarはNode.js向けの機能豊富なTarライブラリです。7.5.16以前のバージョンでは、tar(node-tar)はPAX拡張ヘッダーのsize=レコード(およびその他のPAX上書き)を、GNUの長い名前(L)や長いリンク(K)といった中間のメタデータヘッダーを含むあらゆるタイプの次のヘッダーエントリに適用していました。POSIX paxに従うと、PAX拡張ヘッダー(x)は次のファイルエントリを記述し、中間に存在するxヘッダーとその注釈対象のファイルの間の拡張ヘッダーには適用されません。node-tarはPAXサイズによって中間のL/K/xヘッダーのバイト長を上書きしてしまうため、攻撃者はnode-tarのストリームカーソルを他の主流のtar実装(GNU tar、libarchive/bsdtar、Python tarfile、改修済みのtar-rs / astral-tokio-tar)と異なる位置にずらすことが可能になります。その結果、tarパーサーの解釈の違い(CWE-436)が生じ、単一の細工されたアーカイブがnode-tarでは異なるメンバーセットを返し、参照用tarツールでは別のメンバーセットを返す場合があります。これにより、攻撃者はあるパーサーには表示されず別のパーサーには見えるメンバーを隠し、スキャナーと抽出ツールでアーカイブ内容の解釈が異なるセキュリティツール(例:あるライブラリでエントリを一覧し、別のライブラリで下流処理として抽出するマルウェアや秘密情報スキャナー)を回避できます。この脆弱性は7.5.16で修正されました。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 5.5 (警告) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
isaacs | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/06/22 |
| 登録日 | 2026/06/29 |
| 最終更新日 | 2026/06/29 |



