CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-69874

Critical
Published: Translated: NVD NIST

Summary

Wersje nanotar do 0.2.0 zawierają podatność na przejście ścieżki w funkcjach parseTar() i parseTarGzip(). Umożliwia to zdalnym atakującym zapis dowolnych plików poza zamierzonym katalogiem ekstrakcji za pomocą spreparowanego archiwum tar zawierającego sekwencje przejścia ścieżki.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko wycieku danych lub złośliwego oprogramowania. Organizacje mogą być narażone na ataki, które mogą wpłynąć na integralność i poufność danych.

Recommendation

Zaleca się aktualizację do najnowszej wersji nanotar, aby usunąć tę podatność. Należy również monitorować i ograniczać dostęp do funkcji przetwarzania archiwów tar w aplikacjach.

Original NVD description (English source)

nanotar through 0.2.0 has a path traversal vulnerability in parseTar() and parseTarGzip() that allows remote attackers to write arbitrary files outside the intended extraction directory via a crafted tar archive containing path traversal sequence.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS