| Title | Uutilsのuutils coreutilsにおけるUnicode エンコーディングの処理に関する脆弱性 |
|---|---|
| Summary | uutils coreutilsのsplitユーティリティにおける論理エラーにより、非UTF-8のプレフィックスまたはサフィックス入力が与えられた場合に出力ファイル名が破損します。実装ではchunkファイル名を構築する際にto_string_lossy()を利用しており、無効なバイトシーケンスをUTF-8の代替文字(U+FFFD)に自動的に書き換えます。この挙動は、生のパス名バイトをそのまま保持するGNU splitとは異なります。非UTF-8エンコーディングを使用する環境では、この脆弱性により誤った名前のファイルが作成され、ファイル名の衝突や自動化の破損、または出力データの誤った誘導が発生する可能性があります。 |
| Possible impacts | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | April 22, 2026, midnight |
| Registration Date | May 7, 2026, 11:26 a.m. |
| Last Update | May 7, 2026, 11:26 a.m. |
| CVSS3.0 : 低 | |
| Score | 3.3 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Uutils |
| uutils coreutils 0.8.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月07日] 掲載 |
May 7, 2026, 11:26 a.m. |
| Summary | A logic error in the split utility of uutils coreutils causes the corruption of output filenames when provided with non-UTF-8 prefix or suffix inputs. The implementation utilizes to_string_lossy() when constructing chunk filenames, which automatically rewrites invalid byte sequences into the UTF-8 replacement character (U+FFFD). This behavior diverges from GNU split, which preserves raw pathname bytes intact. In environments utilizing non-UTF-8 encodings, this vulnerability leads to the creation of files with incorrect names, potentially causing filename collisions, broken automation, or the misdirection of output data. |
|---|---|
| Publication Date | April 23, 2026, 2:16 a.m. |
| Registration Date | April 25, 2026, 4:05 a.m. |
| Last Update | April 23, 2026, 6:23 a.m. |