ГлавнаяБаза уязвимостей БДУ → BDU:2026-00589
7.2высокая

BDU:2026-00589

Уязвимость библиотеки node-tar программной платформы Node.js, позволяющая нарушителю обойти существующие механизмы безопасности и выполнить произвольный код
Опубликовано: 2026-01-19
Описание

Уязвимость библиотеки node-tar программной платформы Node.js связана с неверным ограничением имени пути к каталогу при обработке параметра preservePaths. Эксплуатация уязвимости может позволить нарушителю обойти существующие механизмы безопасности и выполнить произвольный код при распаковке специально сформированного TAR-архива

Затрагиваемое ПО и версии
node-tar (до 7.5.3)Node.js (20.20.0)Node.js (22.22.0)Node.js (24.13.0)Node.js (25.3.0)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности распаковки архивов, полученных из недоверенных источников;
- использование средств антивирусного программного обеспечения для анализа TAR-файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с XML-файлами, полученными из недоверенных источников;
- использование SIEM-систем для отслеживания событий, связанных с распаковкой TAR-архивов.

Использование рекомендаций:
https://github.com/isaacs/node-tar/security/advisories/GHSA-8qq5-rm4j-mr97

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/isaacs/node-tar/security/advisories/GHSA-8qq5-rm4j-mr97
Проверьте безопасность своего сайта и почты → Полная проверка домена