Plateforme
python
Composant
tarfile
Corrigé dans
3.10.18
3.11.13
3.12.11
3.13.4
3.14.0b3
La vulnérabilité CVE-2025-4330 affecte le module tarfile de Python, permettant un contournement du filtre d'extraction. Cette faille permet à un attaquant d'extraire des liens symboliques vers des emplacements en dehors du répertoire de destination, potentiellement modifiant des métadonnées de fichiers. Les versions de Python concernées sont les versions 3.10.0 à 3.14.0b3. Une correction est disponible dans la version 3.14.0b3.
Cette vulnérabilité permet à un attaquant d'exploiter le module tarfile pour compromettre la sécurité du système. En fournissant un fichier archive malveillant, l'attaquant peut manipuler le processus d'extraction pour écrire des fichiers en dehors du répertoire prévu, potentiellement écrasant des fichiers système critiques ou compromettant des données sensibles. L'exploitation réussie peut conduire à une exécution de code arbitraire ou à une perte de confidentialité et d'intégrité des données. Le risque est particulièrement élevé si le système traite des archives provenant de sources non fiables. Cette vulnérabilité est similaire à d'autres failles d'extraction d'archives qui ont permis des attaques de type path traversal.
La vulnérabilité CVE-2025-4330 a été rendue publique le 3 juin 2025. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept (PoC) public n'a été observé à la date de cette évaluation, mais la nature de la vulnérabilité la rend potentiellement exploitable. La publication de la vulnérabilité est récente, il est donc possible que des campagnes d'exploitation soient en cours ou soient développées.
Systems that automatically process untrusted tar archives, such as build servers, data ingestion pipelines, or web applications that allow users to upload archives, are particularly at risk. Environments using older Python versions (3.10.0 - 3.14.0b3) are also vulnerable. Shared hosting environments where multiple users can upload files are also at increased risk.
• python / server:
find / -name '*.tar.gz' -o -name '*.tar.bz2' -o -name '*.tar'• python / server:
journalctl -u python3 | grep "TarFile.extractall" | grep "filter="• python / server:
ps aux | grep "TarFile.extractall" | grep "filter="disclosure
Statut de l'Exploit
EPSS
0.36% (percentile 58%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau vers Python 3.14.0b3 ou une version ultérieure, où la correction a été implémentée. Si la mise à niveau n'est pas immédiatement possible, il est fortement recommandé d'éviter d'utiliser le paramètre filter= avec les valeurs "data" ou "tar" dans TarFile.extractall() ou TarFile.extract(). En alternative, validez rigoureusement le contenu des archives avant l'extraction. Sur les systèmes où l'extraction d'archives est nécessaire, envisagez d'utiliser des outils d'extraction d'archives plus sécurisés qui effectuent une validation stricte des chemins d'accès. Il n'existe pas de signature Sigma ou YARA spécifique pour cette vulnérabilité, mais une surveillance des tentatives d'écriture de fichiers en dehors des répertoires attendus peut aider à la détection.
Actualice la biblioteca CPython a la versión 3.10.18 o superior, 3.11.13 o superior, 3.12.11 o superior, 3.13.4 o superior, o 3.14.0b3 o superior. Evite usar el parámetro `filter=` con valores 'data' o 'tar' al extraer archivos tar no confiables con `TarFile.extractall()` o `TarFile.extract()`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-4330 is a directory traversal vulnerability in Python's tarfile module affecting versions 3.10.0–3.14.0b3. It allows attackers to write files outside the intended extraction directory when processing untrusted tar archives.
You are affected if you are using Python versions 3.10.0 through 3.14.0b3 and processing untrusted tar archives using TarFile.extractall() or TarFile.extract() with the filter parameter set to 'data' or 'tar'.
Upgrade to Python 3.14.0b3 or later. Alternatively, disable the filter parameter or implement strict input validation when extracting untrusted archives.
As of the current date, there are no known public exploits or active campaigns targeting CVE-2025-4330.
Refer to the official Python documentation and security advisories for detailed information: https://docs.python.org/3/library/tarfile.html#tarfile-extraction-filter
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.