🔴 《严重安全漏洞:CVE-2026-59873》

CVSS 评分: 严重(9.2)  状态: Received  发布时间: 2026-07-08


漏洞简介

CVE-2026-59873 是一个存在于 node-tar(一个用于 Node.js 的 tar 归档文件操作库)中的安全漏洞。该漏洞属于 CWE-770 分类,即“未对资源分配设置上限(Allocation of Resources Without Limits or Throttling)”。

在版本 7.5.19 之前,node-tar 在解压和解析路径(如 src/extract.ts)中,没有对以下指标实施硬性上限

  • 总解压数据量(total decompressed data)
  • 条目数量(entry counts)
  • 解压比率(decompression ratio)

由于缺乏这些限制,攻击者可以构造一个小型但高度压缩的 gzip 炸弹(gzip bomb),通过该库进行解压时,会耗尽磁盘空间和 CPU 资源,导致拒绝服务(Denial of Service, DoS)。

该漏洞已在 版本 7.5.19 中修复。

影响范围

  • 受影响软件:node-tar
  • 受影响版本:所有 7.5.19 之前的版本
  • 修复版本:7.5.19
  • CVSS 4.0 评分向量CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
    • 该向量表明漏洞可远程利用(AV:N)攻击复杂度低(AC:L)无需权限(PR:N)无需用户交互(UI:N),对可用性(Availability) 影响为高(VA:H),对机密性和完整性无直接影响。

风险分析

  • 攻击方式:攻击者可以通过网络向使用受影响版本 node-tar 的应用程序提供一个特制的、高度压缩的 tar 归档文件(gzip bomb)。由于库未限制解压后的数据量、条目数或压缩比,该文件在解压时会急剧膨胀,消耗大量磁盘空间和 CPU 时间。
  • 攻击后果
    • 拒绝服务(DoS):目标系统的磁盘空间被迅速填满,CPU 资源被耗尽,导致应用程序或整个服务不可用。
    • 资源耗尽:即使不导致完全崩溃,也可能造成系统响应缓慢、其他进程无法正常使用磁盘或 CPU 资源。
  • 影响范围:任何使用 node-tar 库处理用户上传或外部来源 tar 文件的 Node.js 应用程序均可能受影响。由于攻击无需身份验证或用户交互,且可远程触发,该漏洞具有较高的实际风险。
  • 修复建议:立即将 node-tar 升级到 7.5.19 或更高版本,该版本已对解压数据量、条目数和压缩比实施硬性上限,从而有效防御此类 gzip 炸弹攻击。

🔍 技术细节

字段
CVE ID CVE-2026-59873
CVSS 评分 9.2 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-770
发布时间 2026-07-08
最后更新 2026-07-08
状态 Received
数据来源 security-advisories@github.com

🔗 参考链接