CVE-2026-26157 HIGH

Published: 2026-02-11 | Last Modified: 2026-06-02 | Status: Deferred

Description

A flaw was found in BusyBox. Incomplete path sanitization in its archive extraction utilities allows an attacker to craft malicious archives that when extracted, and under specific conditions, may write to files outside the intended directory. This can lead to arbitrary file overwrite, potentially enabling code execution through the modification of sensitive system files.

Additional Descriptions (1)

Se encontró una vulnerabilidad en BusyBox. La sanitización incompleta de rutas en sus utilidades de extracción de archivos permite a un atacante crear archivos maliciosos que, al ser extraídos y bajo condiciones específicas, pueden escribir en archivos fuera del directorio previsto. Esto puede llevar a una sobrescritura arbitraria de archivos, lo que podría permitir la ejecución de código mediante la modificación de archivos de sistema sensibles.

CVSS Metrics

Base Score: 7.0 (HIGH)

CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack Vector	LOCAL
Attack Complexity	HIGH
Privileges Required	NONE
User Interaction	REQUIRED
Scope	UNCHANGED
Confidentiality Impact	HIGH
Integrity Impact	HIGH
Availability Impact	HIGH

Source: [email protected]

Type: Secondary

Exploitability Score: 1.0

Impact Score: 5.9

Weaknesses

Source	Type	Description
[email protected]	Secondary	en CWE-73

References

https://access.redhat.com/errata/RHSA-2026:13831
Source: [email protected]
https://access.redhat.com/security/cve/CVE-2026-26157
Source: [email protected]
https://bugzilla.redhat.com/show_bug.cgi?id=2439039
Source: [email protected]
https://git.busybox.net/busybox/commit/archival?id=3fb6b31c716669e12f75a2accd31bb7685b1a1cb
Source: [email protected]
https://cert-portal.siemens.com/productcert/html/ssa-253495.html
Source: 0b142b55-0307-4c5a-b3c9-f314f3fb7c5e