Plataforma
python
Componente
tarfile
Corregido en
3.10.18
3.11.13
3.12.11
3.13.4
3.14.0b3
La vulnerabilidad CVE-2025-4330 afecta al módulo tarfile de Python, permitiendo a un atacante manipular metadatos de archivos y extraer archivos fuera del directorio de destino. Esta falla se produce al usar el parámetro filter con valores específicos ("data" o "tar") en las funciones TarFile.extractall() o TarFile.extract(). La vulnerabilidad afecta a las versiones de Python desde 3.10.0 hasta 3.14.0b3, y se ha solucionado en la versión 3.14.0b3.
Un atacante podría aprovechar esta vulnerabilidad para escribir archivos arbitrarios en el sistema de archivos, potencialmente comprometiendo la integridad y confidencialidad de los datos. La capacidad de extraer archivos fuera del directorio de destino permite la manipulación de archivos críticos del sistema, lo que podría llevar a la ejecución remota de código o la denegación de servicio. La modificación de metadatos podría usarse para ocultar archivos maliciosos o evadir mecanismos de seguridad. Esta vulnerabilidad es similar a otras fallas de extracción de archivos que permiten la escritura fuera del directorio, donde la falta de validación adecuada del destino de la extracción permite la manipulación del sistema de archivos.
La vulnerabilidad CVE-2025-4330 fue publicada el 3 de junio de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Systems that automatically process untrusted tar archives, such as build servers, data ingestion pipelines, or web applications that allow users to upload archives, are particularly at risk. Environments using older Python versions (3.10.0 - 3.14.0b3) are also vulnerable. Shared hosting environments where multiple users can upload files are also at increased risk.
• python / server:
find / -name '*.tar.gz' -o -name '*.tar.bz2' -o -name '*.tar'• python / server:
journalctl -u python3 | grep "TarFile.extractall" | grep "filter="• python / server:
ps aux | grep "TarFile.extractall" | grep "filter="disclosure
Estado del Exploit
EPSS
0.36% (58% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 3.14.0b3 de Python o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda evitar el uso del parámetro filter en las funciones TarFile.extractall() y TarFile.extract(). En su lugar, implemente una validación manual del destino de la extracción para asegurar que se encuentre dentro del directorio esperado. Considere el uso de herramientas de análisis de archivos para verificar la integridad de los archivos extraídos. Si se utiliza el parámetro filter, asegúrese de que el valor sea seguro y no permita la manipulación del destino de la extracción.
Actualice la biblioteca CPython a la versión 3.10.18 o superior, 3.11.13 o superior, 3.12.11 o superior, 3.13.4 o superior, o 3.14.0b3 o superior. Evite usar el parámetro `filter=` con valores 'data' o 'tar' al extraer archivos tar no confiables con `TarFile.extractall()` o `TarFile.extract()`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-4330 is a directory traversal vulnerability in Python's tarfile module affecting versions 3.10.0–3.14.0b3. It allows attackers to write files outside the intended extraction directory when processing untrusted tar archives.
You are affected if you are using Python versions 3.10.0 through 3.14.0b3 and processing untrusted tar archives using TarFile.extractall() or TarFile.extract() with the filter parameter set to 'data' or 'tar'.
Upgrade to Python 3.14.0b3 or later. Alternatively, disable the filter parameter or implement strict input validation when extracting untrusted archives.
As of the current date, there are no known public exploits or active campaigns targeting CVE-2025-4330.
Refer to the official Python documentation and security advisories for detailed information: https://docs.python.org/3/library/tarfile.html#tarfile-extraction-filter
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.