CVE-2026-32766

astral-tokio-tar is a tar archive reading/writing library for async Rust. In versions 0.5.6 and earlier, malformed PAX extensions were silently skipped when parsing tar archives. This silent skipping (rather than rejection) of invalid PAX extensions could be used as a building block for a parser differential, for example by silently skipping a malformed GNU “long link” extension so that a subsequent parser would misinterpret the extension. In practice, exploiting this behavior in astral-tokio-tar requires a secondary misbehaving tar parser, i.e. one that insufficiently validates malformed PAX extensions and interprets them rather than skipping or erroring on them. This vulnerability is considered low-severity as it requires a separate vulnerability against any unrelated tar parser. This issue has been fixed in version 0.6.0.

CVSS v3 5.3 MEDIUM

5.3^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/astral-sh/tokio-tar/commit/e5e0139cae4577eeedf5fc16b65e690bf988ce52	Patch
https://github.com/astral-sh/tokio-tar/security/advisories/GHSA-6gx3-4362-rf54	Mitigation Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:astral:astral-tokio-tar:*:*:*:*:*:rust:*:*

History

17 Apr 2026, 21:09

Type	Values Removed	Values Added
First Time		Astral Astral astral-tokio-tar
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 5.3
CPE		cpe:2.3:a:astral:astral-tokio-tar::::::rust::*
References	~~() https://github.com/astral-sh/tokio-tar/commit/e5e0139cae4577eeedf5fc16b65e690bf988ce52 -~~	() https://github.com/astral-sh/tokio-tar/commit/e5e0139cae4577eeedf5fc16b65e690bf988ce52 - Patch
References	~~() https://github.com/astral-sh/tokio-tar/security/advisories/GHSA-6gx3-4362-rf54 -~~	() https://github.com/astral-sh/tokio-tar/security/advisories/GHSA-6gx3-4362-rf54 - Mitigation, Vendor Advisory
Summary		(es) astral-tokio-tar es una biblioteca de lectura/escritura de archivos tar para Rust asíncrono. En las versiones 0.5.6 y anteriores, las extensiones PAX malformadas se omitían silenciosamente al analizar archivos tar. Esta omisión silenciosa (en lugar de rechazo) de extensiones PAX no válidas podría usarse como un bloque de construcción para un diferencial de analizador, por ejemplo, omitiendo silenciosamente una extensión GNU 'long link' malformada para que un analizador posterior malinterpretara la extensión. En la práctica, explotar este comportamiento en astral-tokio-tar requiere un analizador tar secundario con comportamiento incorrecto, es decir, uno que valide insuficientemente las extensiones PAX malformadas y las interprete en lugar de omitirlas o generar un error por ellas. Esta vulnerabilidad se considera de baja gravedad ya que requiere una vulnerabilidad separada contra cualquier analizador tar no relacionado. Este problema ha sido corregido en la versión 0.6.0.

20 Mar 2026, 00:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-20 00:16

Updated : 2026-04-17 21:09

NVD link : CVE-2026-32766

Mitre link : CVE-2026-32766

CVE.ORG link : CVE-2026-32766

JSON object : View

Products Affected

astral

astral-tokio-tar

CWE

CWE-436

Interpretation Conflict

5.3 /10