Plateforme
nodejs
Composant
tar-fs
Corrigé dans
1.16.6
2.0.1
3.0.1
1.16.5
Une vulnérabilité de traversal de fichiers a été découverte dans la bibliothèque tar-fs pour Node.js. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le système en manipulant les archives tar extraites. Les versions affectées sont 3.0.8 et antérieures, 2.1.2 et antérieures, et 1.16.4 et antérieures. Une correction a été déployée dans les versions 1.16.5, 2.1.3 et 3.0.9.
Cette vulnérabilité permet à un attaquant d'extraire des archives tar malveillantes et d'accéder à des fichiers sensibles situés en dehors du répertoire d'extraction prévu. L'attaquant pourrait potentiellement lire des informations confidentielles, modifier des fichiers système, ou même exécuter du code malveillant si les fichiers extraits sont exécutables. Le risque est accru si l'application utilise tar-fs pour traiter des archives provenant de sources non fiables. Une exploitation réussie pourrait compromettre l'intégrité et la confidentialité du système.
Cette vulnérabilité est publique depuis le 3 juin 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'a été identifié. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une manipulation d'archive tar et de la disponibilité d'une solution de contournement.
Applications built with Node.js that utilize the tar-fs library to process tar archives are at risk. This includes applications that handle user-uploaded archives or process data from untrusted sources. Specifically, applications relying on older versions of tar-fs (3.0.8 and below) are particularly vulnerable.
• nodejs / server:
npm list tar-fs• nodejs / server:
npm audit tar-fs• nodejs / server:
Check application code for instances where tar archives are extracted using the tar-fs library. Review code for proper validation of archive contents.
disclosure
Statut de l'Exploit
EPSS
0.28% (percentile 51%)
CISA SSVC
La correction principale consiste à mettre à jour la bibliothèque tar-fs vers une version corrigée (1.16.5, 2.1.3 ou 3.0.9). En attendant la mise à jour, une solution de contournement consiste à utiliser l'option 'ignore' lors de l'extraction des archives. Cette option permet de filtrer les éléments qui ne sont ni des fichiers ni des répertoires, empêchant ainsi l'extraction d'éléments potentiellement malveillants. Après la mise à jour, vérifiez que l'extraction d'archives tar ne provoque pas d'effets secondaires indésirables en testant avec des archives de confiance.
Actualice la biblioteca tar-fs a la versión 3.0.9, 2.1.3 o 1.16.5, o superior. Esto corrige la vulnerabilidad que permite la escritura fuera del directorio especificado. Como alternativa, utilice la opción 'ignore' para ignorar archivos o directorios que no sean archivos regulares.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-48387 is a HIGH severity vulnerability affecting Node.js tar-fs versions 3.0.8 and below, allowing attackers to extract malicious files from crafted tar archives.
You are affected if you are using Node.js tar-fs versions 3.0.8, 2.1.2, or 1.16.4 or earlier. Upgrade to 3.0.9, 2.1.3, or 1.16.5 to resolve the issue.
Upgrade to version 3.0.9, 2.1.3, or 1.16.5. As a temporary workaround, use the ignore option to filter out non-file/directory entries during extraction.
As of the public disclosure date, there is no evidence of active exploitation, but the potential for exploitation exists.
Refer to the project's repository or relevant security mailing lists for the official advisory. Check the Google Open Source Security Team's reports for more details.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.