CVE-2025-69874
KrytyczneStreszczenie
Wersje nanotar do 0.2.0 zawierają podatność na przejście ścieżki w funkcjach parseTar() i parseTarGzip(). Umożliwia to zdalnym atakującym zapis dowolnych plików poza zamierzonym katalogiem ekstrakcji za pomocą spreparowanego archiwum tar zawierającego sekwencje przejścia ścieżki.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko wycieku danych lub złośliwego oprogramowania. Organizacje mogą być narażone na ataki, które mogą wpłynąć na integralność i poufność danych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji nanotar, aby usunąć tę podatność. Należy również monitorować i ograniczać dostęp do funkcji przetwarzania archiwów tar w aplikacjach.
Oryginalny opis (angielski, źródło NVD)
nanotar through 0.2.0 has a path traversal vulnerability in parseTar() and parseTarGzip() that allows remote attackers to write arbitrary files outside the intended extraction directory via a crafted tar archive containing path traversal sequence.

