CVE-2025-69874
CriticalSummary
Wersje nanotar do 0.2.0 zawierają podatność na przejście ścieżki w funkcjach parseTar() i parseTarGzip(). Umożliwia to zdalnym atakującym zapis dowolnych plików poza zamierzonym katalogiem ekstrakcji za pomocą spreparowanego archiwum tar zawierającego sekwencje przejścia ścieżki.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko wycieku danych lub złośliwego oprogramowania. Organizacje mogą być narażone na ataki, które mogą wpłynąć na integralność i poufność danych.
Recommendation
Zaleca się aktualizację do najnowszej wersji nanotar, aby usunąć tę podatność. Należy również monitorować i ograniczać dostęp do funkcji przetwarzania archiwów tar w aplikacjach.
Original NVD description (English source)
nanotar through 0.2.0 has a path traversal vulnerability in parseTar() and parseTarGzip() that allows remote attackers to write arbitrary files outside the intended extraction directory via a crafted tar archive containing path traversal sequence.

