文章总结： 本文档披露了node-tar库在7.5.2版本以下的CVE-2026-23745高危漏洞。由于未对硬链接和符号链接的绝对路径进行清洗，攻击者可利用该路径遍历漏洞绕过提取根目录，覆盖主机上的任意文件。漏洞已在v7.5.3版本中修复，建议用户尽快升级并关注相关PoC验证安全风险。 综合评分： 82 文章分类： 漏洞分析,漏洞POC,漏洞预警

CVE-2026-23745：node-tar 任意文件覆盖

Ots安全

2026年1月19日 21:03 广东

威胁简报

恶意软件

漏洞攻击

描述

CVE-2026-23745的 PoC ，这是一个高危路径遍历漏洞node-tar（<7.5.2）。

该库未能对硬链接和符号链接的绝对路径进行清理linkpath。这使得恶意 tar 归档文件能够绕过提取根目录，并覆盖主机系统上的任意文件，即使preservePaths: false已设置相关选项也无济于事。

漏洞

位于[此处] src/unpack.ts。该库使用path.resolve()未经清理的用户输入：

// The bug: path.resolve ignores 'cwd'if the second argumentis absolute
const target = path.resolve(this.cwd, String(entry.linkpath))

/etc/passwd如果攻击者在 tar 标头中提供绝对路径（例如， ），node-tar则会将其解析为系统根目录而不是提取目录。

PoC 使用情况

其中包含的程序poc.js会生成恶意存档并尝试覆盖本地secret.txt文件。

1. 安装存在漏洞的版本： npm install [email protected]
2. 运行漏洞利用生成器： node poc.js

输出：

[+] VULN CONFIRMED: Hardlink overwrite successful
    Target file content changed to: OVERWRITTEN

使固定

已在v7.5.3 版本中修复。此次更新增加了stripAbsolutePath()在解析链接目标之前对其进行清理的功能。

项目地址：

https://github.com/Jvr2022/CVE-2026-23745

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《CVE-2026-23745：node-tar 任意文件覆盖》