Cargo'da Symlink Açığı: CVE-2026-5223 Duyuruldu
Cargo, üçüncü taraf registry'lerden gelen tarball'lardaki symlink'leri hatalı işliyordu. Rust 1.96.0 ile düzeltilen orta seviye açığın detayları.
Rust Güvenlik Yanıt Ekibi, Cargo'nun üçüncü taraf registry'lerden indirilen crate tarball'larındaki symlink'leri hatalı şekilde işlediğini açıkladı. CVE-2026-5223 olarak takip edilen bu açık, kötü niyetli bir crate'in aynı registry'deki başka bir crate'in kaynak kodunun üzerine yazmasına olanak tanıyor. Sorun, Cargo'nun ~/.cargo altında tuttuğu yerel önbellek yapısından kaynaklanıyor; özel olarak hazırlanmış bir tarball, dosyaları crate'in kendi önbellek dizininin bir seviye altına çıkararak komşu crate'lerin önbelleğini bozabiliyor.
crates.io kullanıcıları bu açıktan etkilenmiyor çünkü crates.io zaten symlink içeren crate yüklemelerini reddediyor. Ancak üçüncü taraf registry kullanan geliştiriciler için risk orta seviyede kabul ediliyor. 28 Mayıs 2026'da yayınlanacak Rust 1.96.0, kaynağı ne olursa olsun tüm crate tarball'larındaki symlink'lerin çıkarılmasını reddedecek şekilde Cargo'yu güncelliyor.
Henüz güncellemeyi uygulayamayan kullanıcılara, registry içeriklerini symlink varlığı açısından denetlemeleri ve mümkünse registry yapılandırmalarını symlink'leri reddedecek şekilde ayarlamaları öneriliyor. Açık, Christos Papakonstantinou tarafından Rust güvenlik politikasına uygun şekilde raporlanmış; düzeltme Josh Triplett tarafından geliştirilip Rust ekibinden çeşitli kişiler tarafından incelenerek koordine edilmiş.