Plataforma
python
Componente
tarfile
Corregido en
3.10.18
3.11.13
3.12.11
3.13.4
3.14.0b3
La vulnerabilidad CVE-2025-4517 es una falla de escritura arbitraria de archivos descubierta en el módulo tarfile de Python. Esta falla permite a un atacante escribir archivos fuera del directorio de extracción al utilizar el filtro "data" durante la extracción de archivos tar no confiables. Las versiones afectadas son Python 3.10.0 hasta 3.14.0b3; una versión corregida (3.14.0b3) ya está disponible.
Un atacante puede explotar esta vulnerabilidad para escribir archivos arbitrarios en el sistema de archivos del host donde se ejecuta el código Python. Esto podría resultar en la ejecución de código malicioso, la modificación de archivos de configuración críticos, el robo de datos sensibles o incluso el control total del sistema. La falla se produce al utilizar la función TarFile.extractall() o TarFile.extract() con el parámetro filter establecido en "data" o "tar" al procesar archivos tar no confiables. La gravedad de esta vulnerabilidad se debe a la posibilidad de ejecución remota de código, lo que la convierte en una amenaza significativa para la seguridad de los sistemas que utilizan el módulo tarfile para procesar archivos tar de fuentes externas.
La vulnerabilidad CVE-2025-4517 ha sido publicada públicamente el 3 de junio de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (escritura arbitraria de archivos) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear la actividad de la red y los sistemas en busca de signos de explotación.
Applications and systems that rely on the Python tarfile module to process untrusted tar archives are at risk. This includes build systems, deployment pipelines, and any application that accepts tar archives from external sources. Shared hosting environments where multiple users can upload files are particularly vulnerable.
• python / server:
find / -name '*.tar.gz' -type f -print0 | xargs -0 grep -i 'data filter'• python / supply-chain:
Inspect Python dependencies for vulnerable versions of tarfile.
• generic web:
Monitor web server access logs for requests containing tar.gz archives, especially those originating from untrusted sources.
disclosure
Estado del Exploit
EPSS
0.11% (29% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a Python 3.14.0b3 o una versión posterior, donde la vulnerabilidad ha sido corregida. Si la actualización no es posible de inmediato, se recomienda evitar el uso del parámetro filter al extraer archivos tar no confiables. Como alternativa, se puede implementar una validación estricta de los archivos tar antes de la extracción para garantizar que no contengan rutas de archivo maliciosas. Además, se puede considerar el uso de un entorno de ejecución aislado (sandbox) para limitar el impacto potencial de la explotación. Después de la actualización, confirme la corrección verificando que el módulo tarfile se comporta como se espera al extraer archivos tar de fuentes no confiables.
Actualice la biblioteca CPython a la versión 3.10.18 o superior, 3.11.13 o superior, 3.12.11 o superior, 3.13.4 o superior, o 3.14.0b3 o superior. Evite usar el filtro 'data' o 'tar' en la función TarFile.extractall() o TarFile.extract() con archivos tar no confiables.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-4517 es una vulnerabilidad de escritura arbitraria de archivos en el módulo tarfile de Python que permite a un atacante escribir archivos fuera del directorio de extracción al usar el filtro 'data' en archivos tar no confiables.
Está afectado si utiliza Python en las versiones 3.10.0 a 3.14.0b3 y procesa archivos tar no confiables usando TarFile.extractall() o TarFile.extract() con el parámetro filter establecido en 'data' o 'tar'.
Actualice a Python 3.14.0b3 o posterior. Si no es posible, evite el uso del parámetro filter al extraer archivos tar no confiables.
No se conocen públicamente explotaciones activas, pero la naturaleza de la vulnerabilidad la convierte en un objetivo potencial para los atacantes.
Consulte la documentación de Python en https://docs.python.org/3/library/tarfile.html#tarfile-extraction-filter para obtener más información.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.