Katalog CVE

CVE-2025-69874

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje nanotar do 0.2.0 zawierają podatność na przejście ścieżki w funkcjach parseTar() i parseTarGzip(). Umożliwia to zdalnym atakującym zapis dowolnych plików poza zamierzonym katalogiem ekstrakcji za pomocą spreparowanego archiwum tar zawierającego sekwencje przejścia ścieżki.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko wycieku danych lub złośliwego oprogramowania. Organizacje mogą być narażone na ataki, które mogą wpłynąć na integralność i poufność danych.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji nanotar, aby usunąć tę podatność. Należy również monitorować i ograniczać dostęp do funkcji przetwarzania archiwów tar w aplikacjach.

Oryginalny opis (angielski, źródło NVD)

nanotar through 0.2.0 has a path traversal vulnerability in parseTar() and parseTarGzip() that allows remote attackers to write arbitrary files outside the intended extraction directory via a crafted tar archive containing path traversal sequence.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS