Plataforma
go
Componente
github.com/mholt/archiver
Corregido en
3.5.2
3.5.2
CVE-2025-3445 es una vulnerabilidad de Path Traversal descubierta en la biblioteca github.com/mholt/archiver. Esta falla permite a un atacante, a través de un archivo ZIP malicioso, acceder a archivos arbitrarios en el sistema de archivos del servidor. La vulnerabilidad afecta a versiones anteriores a 3.0.1 y requiere que el atacante pueda subir un archivo ZIP al sistema. Se recomienda actualizar a la versión 3.0.1 para mitigar este riesgo.
La vulnerabilidad de Path Traversal en github.com/mholt/archiver permite a un atacante eludir los controles de acceso y leer archivos confidenciales en el servidor. Un atacante podría subir un archivo ZIP especialmente diseñado que contenga rutas de archivo manipuladas, permitiéndole acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, claves de API, contraseñas u otros datos sensibles. El impacto potencial es alto, ya que la divulgación de esta información podría comprometer la seguridad del sistema y la confidencialidad de los datos. La explotación exitosa podría llevar a la toma de control del servidor o a la exfiltración de datos sensibles, dependiendo de los permisos del usuario bajo el cual se ejecuta la aplicación.
La vulnerabilidad CVE-2025-3445 se publicó el 5 de agosto de 2025. No se ha reportado explotación activa en entornos reales, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para los atacantes. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) ni se ha asignado un puntaje EPSS. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Applications and services that utilize the github.com/mholt/archiver Go library to process ZIP files are at risk. This includes applications that handle user-uploaded ZIP files or process ZIP archives from external sources. Go developers integrating this library into their projects should prioritize upgrading.
• go / supply-chain: Inspect dependencies for vulnerable versions of github.com/mholt/archiver. Use go list -m all and filter for versions < 3.0.1.
go list -m all | grep github.com/mholt/archiver | grep "< 3.0.1"• generic web: Monitor web server access logs for requests containing suspicious ZIP file uploads with path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check for directory listings enabled on the server that could expose ZIP files.
disclosure
Estado del Exploit
EPSS
0.67% (71% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-3445 es actualizar la biblioteca github.com/mholt/archiver a la versión 3.0.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las rutas de archivo antes de procesar cualquier archivo ZIP. Esto podría incluir el uso de listas blancas de rutas permitidas o la sanitización de las rutas proporcionadas por el usuario. Además, se recomienda restringir los permisos del usuario bajo el cual se ejecuta la aplicación para limitar el daño potencial en caso de explotación. Verifique después de la actualización que la biblioteca se haya actualizado correctamente y que la validación de rutas esté funcionando como se espera, intentando subir un archivo ZIP con rutas relativas para confirmar que no se accede a archivos fuera del directorio esperado.
Actualice a una versión de la librería mholt/archiver que no sea vulnerable. Considere migrar a mholt/archives, el sucesor de mholt/archiver, que ha eliminado la funcionalidad Unarchive(). Si no es posible actualizar, evite usar la función archiver.Unarchive() con archivos ZIP provenientes de fuentes no confiables.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3445 is a Path Traversal vulnerability in the github.com/mholt/archiver Go library, allowing attackers to read arbitrary files via crafted ZIP files.
You are affected if you are using a version of github.com/mholt/archiver prior to 3.0.1 and process ZIP files.
Upgrade the github.com/mholt/archiver library to version 3.0.1 or later. Implement input validation on ZIP file contents as a temporary workaround.
There is currently no confirmed active exploitation, but public proof-of-concept code is expected.
Refer to the GitHub repository for updates and advisories: https://github.com/mholt/archiver
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.