リモートホストにインストールされているnode-tarのバージョンは 7.5.10より前です。したがって、脆弱性の影響を受けます。

  - node-tar は、Node.js 用のフル機能の Tar です。バージョン 7.5.10 より前では、tar が騙されて、C:.. などのドライブ相対リンクターゲットを使用することで、抽出ディレクトリの外側を指し示すハードリンクを作成する可能性があります。/target.txt。これにより、通常の tar.x() 抽出中に cwd 外部でのファイルの上書きが可能になります。この問題には、バージョン 7.5.10 でパッチが適用されています。(CVE-2026-29786)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Node.js モジュール node-tar < 7.5.10 任意のファイルの上書き

high Nessus プラグイン ID 318797

バージョン 1.1