CVE-2026-35345 CVSS 5.3 中危

CVE-2026-35345 uutils coreutils tail信息泄露

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35345

漏洞类型

符号链接竞争

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

uutils coreutils

漏洞概述

uutils coreutils的tail工具在处理--follow=name选项时存在漏洞。与GNU tail不同，当文件被替换为符号链接时，uutils会继续监控并输出链接目标内容。在特权用户监控日志的场景下，拥有写权限的本地攻击者可将日志文件替换为指向敏感文件（如/etc/shadow）的符号链接，导致tail泄露敏感信息。该漏洞CVSS 5.3，属于中危风险。

技术细节

该漏洞源于uutils对tail命令--follow=name模式的实现缺陷。当文件被删除并替换为符号链接时，uutils未能正确处理路径变化，而是跟随符号链接读取目标。攻击者利用TOCTOU竞争条件，在root用户使用tail监控日志时，删除原日志文件并创建指向/etc/shadow等敏感文件的符号链接。由于tail进程通常以高权限运行，它会读取并显示敏感文件内容，导致信息泄露。此攻击要求攻击者对被监控目录具有写权限。

攻击链分析

STEP 1

步骤1

攻击者获取对日志目录（如/var/log）的写权限，且特权用户（root）正在使用tail --follow=name监控该目录下的文件。

STEP 2

步骤2

攻击者删除被监控的日志文件，并迅速创建一个指向敏感系统文件（如/etc/shadow）的符号链接，文件名保持不变。

STEP 3

步骤3

uutils tail检测到文件路径变化后，跟随符号链接读取目标文件内容。

STEP 4

步骤4

tail将敏感文件的内容输出到标准输出，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-35345
# Scenario: Root is running 'tail -f /var/log/app.log'
# Attacker has write access to /var/log/

# 1. Remove the original log file
rm -f /var/log/app.log

# 2. Create a symlink pointing to a sensitive file
ln -s /etc/shadow /var/log/app.log

# 3. Wait for tail to detect the change and output /etc/shadow contents
# Result: The contents of /etc/shadow are displayed in the root's terminal.

影响范围

uutils coreutils (存在漏洞的特定版本)

防御指南

临时缓解措施

建议立即更新uutils coreutils组件以修复此漏洞。在未修复前，应严格限制日志目录的写入权限，确保只有受信任的管理员能够修改日志文件，避免使用tail监控不可信目录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-35345
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-35345
3 Details https://www.cvedetails.com/cve/CVE-2026-35345/
4 VulDB https://vuldb.com/cve/CVE-2026-35345
5 Link https://github.com/uutils/coreutils/issues/10328
6 Link https://github.com/uutils/coreutils/issues/10328

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表