Plateforme
go
Composant
github.com/mholt/archiver
Corrigé dans
3.5.2
3.5.2
La vulnérabilité CVE-2025-3445 est une faille de traversal de chemin (Path Traversal) affectant la bibliothèque github.com/mholt/archiver écrite en Go. Cette faille permet à un attaquant de lire des fichiers arbitraires sur le système en fournissant un fichier ZIP spécialement conçu. Les versions de la bibliothèque antérieures à 3.0.1 sont vulnérables. Une mise à jour vers la version 3.0.1 ou l'application de mesures d'atténuation est recommandée.
Un attaquant exploitant cette vulnérabilité peut potentiellement accéder à des fichiers sensibles sur le serveur, tels que des fichiers de configuration, des clés API ou des données confidentielles. L'attaquant pourrait également modifier des fichiers, bien que cela dépende des permissions du processus exécutant la bibliothèque. La portée de l'attaque dépendra des permissions du compte utilisateur sous lequel la bibliothèque est exécutée. Cette vulnérabilité est similaire à d'autres failles de traversal de chemin où l'attaquant manipule les chemins d'accès pour sortir du répertoire prévu.
La vulnérabilité CVE-2025-3445 a été rendue publique le 2025-08-05. Il n'y a pas d'indications d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept (PoC) public n'a été identifié à la date de cette évaluation, mais la nature de la vulnérabilité la rend potentiellement exploitable. La sévérité est classée comme HIGH (CVSS 8.1).
Applications and services that utilize the github.com/mholt/archiver Go library to process ZIP files are at risk. This includes applications that handle user-uploaded ZIP files or process ZIP archives from external sources. Go developers integrating this library into their projects should prioritize upgrading.
• go / supply-chain: Inspect dependencies for vulnerable versions of github.com/mholt/archiver. Use go list -m all and filter for versions < 3.0.1.
go list -m all | grep github.com/mholt/archiver | grep "< 3.0.1"• generic web: Monitor web server access logs for requests containing suspicious ZIP file uploads with path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check for directory listings enabled on the server that could expose ZIP files.
disclosure
Statut de l'Exploit
EPSS
0.67% (percentile 71%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque github.com/mholt/archiver vers la version 3.0.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution d'atténuation consiste à valider et à nettoyer rigoureusement les chemins d'accès extraits des fichiers ZIP avant de les utiliser. Il est également possible d'utiliser un proxy inverse ou un WAF pour bloquer les requêtes contenant des séquences de traversal de chemin suspectes (par exemple, ../). Vérifiez après la mise à jour que l'extraction des fichiers ZIP se fait dans un répertoire restreint et que les permissions sont correctement configurées.
Actualice a una versión de la librería mholt/archiver que no sea vulnerable. Considere migrar a mholt/archives, el sucesor de mholt/archiver, que ha eliminado la funcionalidad Unarchive(). Si no es posible actualizar, evite usar la función archiver.Unarchive() con archivos ZIP provenientes de fuentes no confiables.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-3445 is a Path Traversal vulnerability in the github.com/mholt/archiver Go library, allowing attackers to read arbitrary files via crafted ZIP files.
You are affected if you are using a version of github.com/mholt/archiver prior to 3.0.1 and process ZIP files.
Upgrade the github.com/mholt/archiver library to version 3.0.1 or later. Implement input validation on ZIP file contents as a temporary workaround.
There is currently no confirmed active exploitation, but public proof-of-concept code is expected.
Refer to the GitHub repository for updates and advisories: https://github.com/mholt/archiver
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.