🔴 严重 | CVE-2026-59873 — node-tar is a tar archive manipulation library for...
🔴 《严重安全漏洞:CVE-2026-59873》
CVSS 评分: 严重(9.2) 状态: Received 发布时间: 2026-07-08
漏洞简介
CVE-2026-59873 是一个存在于 node-tar(一个用于 Node.js 的 tar 归档文件操作库)中的安全漏洞。该漏洞属于 CWE-770 分类,即“未对资源分配设置上限(Allocation of Resources Without Limits or Throttling)”。
在版本 7.5.19 之前,node-tar 在解压和解析路径(如 src/extract.ts)中,没有对以下指标实施硬性上限:
- 总解压数据量(total decompressed data)
- 条目数量(entry counts)
- 解压比率(decompression ratio)
由于缺乏这些限制,攻击者可以构造一个小型但高度压缩的 gzip 炸弹(gzip bomb),通过该库进行解压时,会耗尽磁盘空间和 CPU 资源,导致拒绝服务(Denial of Service, DoS)。
该漏洞已在 版本 7.5.19 中修复。
影响范围
- 受影响软件:node-tar
- 受影响版本:所有 7.5.19 之前的版本
- 修复版本:7.5.19
- CVSS 4.0 评分向量:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X- 该向量表明漏洞可远程利用(AV:N),攻击复杂度低(AC:L),无需权限(PR:N),无需用户交互(UI:N),对可用性(Availability) 影响为高(VA:H),对机密性和完整性无直接影响。
风险分析
- 攻击方式:攻击者可以通过网络向使用受影响版本 node-tar 的应用程序提供一个特制的、高度压缩的 tar 归档文件(gzip bomb)。由于库未限制解压后的数据量、条目数或压缩比,该文件在解压时会急剧膨胀,消耗大量磁盘空间和 CPU 时间。
- 攻击后果:
- 拒绝服务(DoS):目标系统的磁盘空间被迅速填满,CPU 资源被耗尽,导致应用程序或整个服务不可用。
- 资源耗尽:即使不导致完全崩溃,也可能造成系统响应缓慢、其他进程无法正常使用磁盘或 CPU 资源。
- 影响范围:任何使用 node-tar 库处理用户上传或外部来源 tar 文件的 Node.js 应用程序均可能受影响。由于攻击无需身份验证或用户交互,且可远程触发,该漏洞具有较高的实际风险。
- 修复建议:立即将 node-tar 升级到 7.5.19 或更高版本,该版本已对解压数据量、条目数和压缩比实施硬性上限,从而有效防御此类 gzip 炸弹攻击。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-59873 |
| CVSS 评分 | 9.2 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-770 |
| 发布时间 | 2026-07-08 |
| 最后更新 | 2026-07-08 |
| 状态 | Received |
| 数据来源 | security-advisories@github.com |
🔗 参考链接
💬 评论