Rust安全响应团队披露了CVE-2026-33056漏洞,该漏洞存在于Cargo使用的第三方tar库中,允许恶意crate在构建过程中提取时更改任意目录的权限。crates.io注册表已修复并完成审计,未发现利用情况,Rust 1.94.1将发布修复版本。使用替代注册表的用户需联系供应商确认是否受影响,旧版Cargo仍存在风险。
背景
Cargo是Rust的包管理器和构建系统,负责从crates.io等注册表下载和提取依赖项。tar crate是Rust中广泛用于处理tar归档文件的库。
- 来源
- Lobsters
- 发布时间
- 2026年3月22日 15:12
- 评分
- 8.0 / 10