Plateforme
nodejs
Composant
tar-fs
Corrigé dans
3.0.1
2.0.1
1.16.6
3.1.1
La vulnérabilité CVE-2025-59343 affecte la bibliothèque tar-fs pour Node.js, permettant l'exploitation de liens symboliques. Cette faille peut potentiellement conduire à l'exécution de code arbitraire sur le système. Les versions concernées sont 3.1.0 et antérieures, 2.1.3 et antérieures, et 1.16.5 et antérieures. Une correction a été déployée dans les versions 3.1.1, 2.1.4 et 1.16.6.
Cette vulnérabilité permet à un attaquant d'exploiter des liens symboliques malveillants lors de l'extraction d'archives tar. En manipulant les liens symboliques, un attaquant pourrait potentiellement accéder à des fichiers sensibles en dehors du répertoire d'extraction prévu, voire exécuter du code arbitraire sur le système. Le risque est particulièrement élevé dans les environnements où tar-fs est utilisé pour traiter des archives provenant de sources non fiables. Une exploitation réussie pourrait compromettre l'intégrité du système et entraîner une perte de confidentialité des données.
La vulnérabilité a été rapportée par Mapta / BugBunny_ai et publiée le 24 septembre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une manipulation spécifique des liens symboliques et de la disponibilité d'une solution de contournement.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
La correction principale consiste à mettre à jour tar-fs vers une version corrigée (3.1.1, 2.1.4 ou 1.16.6). En attendant la mise à jour, une solution de contournement consiste à utiliser l'option 'ignore' pour ignorer les éléments qui ne sont ni des fichiers ni des répertoires lors de l'extraction. Cette approche empêche le traitement des liens symboliques. Il est également recommandé de limiter l'accès aux archives tar provenant de sources inconnues et de mettre en place des contrôles d'intégrité des fichiers. Après la mise à jour, vérifiez que l'extraction d'archives tar ne provoque pas d'erreurs inattendues.
Actualice la biblioteca tar-fs a la versión 3.1.1, 2.1.4 o 1.16.6, o superior. Esto corrige la vulnerabilidad de omisión de validación de enlaces simbólicos. Como alternativa, utilice la opción `ignore` para excluir archivos y directorios no esenciales.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Versions prior to 3.1.1, including 3.1.0, 2.1.3, and 1.16.5, are vulnerable to CVE-2025-59343.
No, the 'ignore' option is a temporary solution. The permanent solution is to upgrade to a patched version (3.1.1, 2.1.4, or 1.16.6).
Check the version of tar-fs you are using. If it is older than the patched versions, it is vulnerable.
Not patching this vulnerability could allow an attacker to execute malicious code, modify data, or compromise system security.
You can find more information about CVE-2025-59343 in vulnerability databases and security advisories from tar-fs providers.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.