Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-43637
CVSS 9.1 — CRITICO

CVE-2026-43637: Vulnerabilità Cornac

Pubblicato il 2026-07-15 · Fonte: NVD NIST

CVE ID
CVE-2026-43637
CVSS Score
9.1
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-43637 è una vulnerabilità di path traversal (Tar Slip) che colpisce la versione di Cornac precedente a 2.6.0. Questa vulnerabilità consente agli attaccanti di scrivere file arbitrari sul file system fornendo un archivio TAR appositamente creato contenente sequenze ../, percorsi assoluti o voci di symlink/hardlink alla funzione _extract_archive() in cornac/utils/download.py. Gli attaccanti possono sfruttare questa vulnerabilità attraverso i loader di dataset integrati, che scaricano e estraggono automaticamente gli archivi, causando la scrittura di file in posizioni arbitrarie sul file system accessibili al processo in esecuzione.

Impatto

Un attaccante può sfruttare questa vulnerabilità per scrivere file arbitrari sul file system, potenzialmente consentendo l'esecuzione di codice arbitrario o l'accesso non autorizzato a dati sensibili. I sistemi che utilizzano versioni di Cornac precedenti a 2.6.0 sono a rischio.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare Cornac alla versione 2.6.0 o successiva. In assenza di un aggiornamento disponibile, è possibile adottare misure di mitigazione come limitare i permessi di accesso al file system o utilizzare un sistema di gestione dei pacchetti che possa verificare l'integrità degli archivi scaricati.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-43637?

La vulnerabilità CVE-2026-43637 è una vulnerabilità di path traversal che colpisce la versione di Cornac precedente a 2.6.0.

Come gli attaccanti possono sfruttare questa vulnerabilità?

Gli attaccanti possono sfruttare questa vulnerabilità fornendo un archivio TAR appositamente creato contenente sequenze ../, percorsi assoluti o voci di symlink/hardlink alla funzione _extract_archive() in cornac/utils/download.py.

Come proteggersi da CVE-2026-43637?

Per proteggersi da questa vulnerabilità, si consiglia di aggiornare Cornac alla versione 2.6.0 o successiva e di adottare misure di mitigazione come limitare i permessi di accesso al file system o utilizzare un sistema di gestione dei pacchetti che possa verificare l'integrità degli archivi scaricati.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.