Pubblicato il 2026-07-15 · Fonte: NVD NIST
La vulnerabilità CVE-2026-43637 è una vulnerabilità di path traversal (Tar Slip) che colpisce la versione di Cornac precedente a 2.6.0. Questa vulnerabilità consente agli attaccanti di scrivere file arbitrari sul file system fornendo un archivio TAR appositamente creato contenente sequenze ../, percorsi assoluti o voci di symlink/hardlink alla funzione _extract_archive() in cornac/utils/download.py. Gli attaccanti possono sfruttare questa vulnerabilità attraverso i loader di dataset integrati, che scaricano e estraggono automaticamente gli archivi, causando la scrittura di file in posizioni arbitrarie sul file system accessibili al processo in esecuzione.
Un attaccante può sfruttare questa vulnerabilità per scrivere file arbitrari sul file system, potenzialmente consentendo l'esecuzione di codice arbitrario o l'accesso non autorizzato a dati sensibili. I sistemi che utilizzano versioni di Cornac precedenti a 2.6.0 sono a rischio.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Cornac alla versione 2.6.0 o successiva. In assenza di un aggiornamento disponibile, è possibile adottare misure di mitigazione come limitare i permessi di accesso al file system o utilizzare un sistema di gestione dei pacchetti che possa verificare l'integrità degli archivi scaricati.
La vulnerabilità CVE-2026-43637 è una vulnerabilità di path traversal che colpisce la versione di Cornac precedente a 2.6.0.
Gli attaccanti possono sfruttare questa vulnerabilità fornendo un archivio TAR appositamente creato contenente sequenze ../, percorsi assoluti o voci di symlink/hardlink alla funzione _extract_archive() in cornac/utils/download.py.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare Cornac alla versione 2.6.0 o successiva e di adottare misure di mitigazione come limitare i permessi di accesso al file system o utilizzare un sistema di gestione dei pacchetti che possa verificare l'integrità degli archivi scaricati.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.