Security Advisory for Cargo
2 months ago
- #rust
- #vulnerability
- #security
- 第三方crate包tar存在漏洞(CVE-2026-33056),恶意crate可在解压时篡改文件系统权限
- 自2026年3月13日起,公共crates.io注册用户已受保护,未发现恶意crate
- 使用其他注册表的用户应联系供应商确认是否受影响
- Rust 1.94.1版本将于2026年3月26日发布,包含修复后的tar crate及其他补丁
- 感谢Sergei Zimmerman、William Woodruff及Rust项目组成员的贡献