HIGHCVE-2025-48387CVSS 7.5

tar-fs एक विशिष्ट टारबॉल के साथ निर्दिष्ट निर्देशिका के बाहर निकाल सकता है

Q: CVE-2025-48387 — फ़ाइल सिस्टम भेद्यता tar-fs में Node.js क्या है?

CVE-2025-48387 tar-fs लाइब्रेरी में एक भेद्यता है जो Node.js अनुप्रयोगों को प्रभावित करती है, जिससे हमलावरों को अनपेक्षित फ़ाइलों को संसाधित करने की अनुमति मिलती है।

Q: क्या मैं CVE-2025-48387 में tar-fs से प्रभावित हूं?

यदि आप tar-fs के संस्करण 3.0.8, 2.1.2 या 1.16.4 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

Q: मैं CVE-2025-48387 में tar-fs को कैसे ठीक करूं?

tar-fs लाइब्रेरी को संस्करण 1.16.5, 2.1.3 या 3.0.9 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो `ignore` विकल्प का उपयोग करें।

Q: क्या CVE-2025-48387 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि अभी तक कोई सार्वजनिक PoC उपलब्ध नहीं है, लेकिन इसकी गंभीरता को देखते हुए सक्रिय शोषण की संभावना है।

Q: CVE-2025-48387 के लिए आधिकारिक Node.js सलाहकार कहां मिल सकता है?

आधिकारिक सलाहकार के लिए Google Open Source Security Team की वेबसाइट देखें।

प्लेटफ़ॉर्म

nodejs

घटक

tar-fs

में ठीक किया गया

1.16.6

2.0.1

3.0.1

1.16.5

AI Confidence: highNVDEPSS 0.3%समीक्षित: मई 2026

NVD पर देखें

सहेजें

CVE-2025-48387 tar-fs लाइब्रेरी में एक फ़ाइल सिस्टम भेद्यता है जो Node.js अनुप्रयोगों को प्रभावित कर सकती है। यह भेद्यता हमलावरों को अनपेक्षित फ़ाइलों को संसाधित करने की अनुमति दे सकती है, जिससे संभावित रूप से डेटा हानि या सिस्टम समझौता हो सकता है। यह भेद्यता tar-fs के संस्करण 3.0.8, 2.1.2 और 1.16.4 और उससे पहले के संस्करणों को प्रभावित करती है। इसे संस्करण 1.16.5, 2.1.3 और 3.0.9 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को tar-fs लाइब्रेरी का उपयोग करते समय अनपेक्षित फ़ाइलों को संसाधित करने की अनुमति देती है। इसका मतलब है कि हमलावर दुर्भावनापूर्ण फ़ाइलों को सिस्टम में इंजेक्ट कर सकते हैं और उन्हें निष्पादित कर सकते हैं, जिससे संभावित रूप से डेटा हानि, सिस्टम समझौता या अन्य हानिकारक परिणाम हो सकते हैं। इस भेद्यता का उपयोग करके, एक हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, सिस्टम को नियंत्रित कर सकता है, या सेवा से इनकार (DoS) हमला शुरू कर सकता है। इस भेद्यता का प्रभाव उस संदर्भ पर निर्भर करता है जिसमें tar-fs का उपयोग किया जा रहा है।

शोषण संदर्भ

इस भेद्यता की सार्वजनिक रूप से जानकारी 2025-06-03 को जारी की गई थी। Caleb Brown द्वारा Google Open Source Security Team को रिपोर्ट की गई थी। इस भेद्यता के लिए अभी तक कोई सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) नहीं है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, सक्रिय शोषण की संभावना है। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है।

कौन जोखिम में हैअनुवाद हो रहा है…

Applications built with Node.js that utilize the tar-fs library to process tar archives are at risk. This includes applications that handle user-uploaded archives or process data from untrusted sources. Specifically, applications relying on older versions of tar-fs (3.0.8 and below) are particularly vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / server:

  npm list tar-fs

• nodejs / server:

  npm audit tar-fs

• nodejs / server: Check application code for instances where tar archives are extracted using the tar-fs library. Review code for proper validation of archive contents.

हमले की समयरेखा

2025-06-03Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

NextGuard56% अभी भी असुरक्षित

EPSS

0.28% (51% शतमक)

CISA SSVC

शोषणnone

स्वचालनीयyes

तकनीकी प्रभावpartial

प्रभावित सॉफ्टवेयर

घटकtar-fs

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

< 1.16.5 – < 1.16.51.16.6

>= 2.0.0, < 2.1.3 – >= 2.0.0, < 2.1.32.0.1

>= 3.0.0, < 3.0.9 – >= 3.0.0, < 3.0.93.0.1

—1.16.5

पैकेज जानकारी

अंतिम अपडेट: 3.1.22 महीने पहले

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

आरक्षित2025-05-19
प्रकाशित2025-06-03
संशोधित2026-02-04
EPSS अद्यतन2026-03-23

प्रकाशन के -11 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2025-48387 को कम करने के लिए, tar-fs लाइब्रेरी को संस्करण 1.16.5, 2.1.3 या 3.0.9 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप ignore विकल्प का उपयोग करके गैर-फ़ाइलों और गैर-निर्देशिकाओं को अनदेखा कर सकते हैं। यह सुनिश्चित करें कि आपके Node.js एप्लिकेशन में फ़ाइल प्रोसेसिंग के लिए उचित इनपुट सत्यापन और सैनिटाइजेशन लागू किया गया है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग दुर्भावनापूर्ण अनुरोधों को ब्लॉक करने के लिए किया जा सकता है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइलों को संसाधित करके और यह सुनिश्चित करके कि केवल अपेक्षित फ़ाइलें ही संसाधित की जा रही हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice la biblioteca tar-fs a la versión 3.0.9, 2.1.3 o 1.16.5, o superior. Esto corrige la vulnerabilidad que permite la escritura fuera del directorio especificado. Como alternativa, utilice la opción 'ignore' para ignorar archivos o directorios que no sean archivos regulares.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-48387 — फ़ाइल सिस्टम भेद्यता tar-fs में Node.js क्या है?

CVE-2025-48387 tar-fs लाइब्रेरी में एक भेद्यता है जो Node.js अनुप्रयोगों को प्रभावित करती है, जिससे हमलावरों को अनपेक्षित फ़ाइलों को संसाधित करने की अनुमति मिलती है।

क्या मैं CVE-2025-48387 में tar-fs से प्रभावित हूं?

यदि आप tar-fs के संस्करण 3.0.8, 2.1.2 या 1.16.4 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2025-48387 में tar-fs को कैसे ठीक करूं?

tar-fs लाइब्रेरी को संस्करण 1.16.5, 2.1.3 या 3.0.9 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो ignore विकल्प का उपयोग करें।

क्या CVE-2025-48387 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि अभी तक कोई सार्वजनिक PoC उपलब्ध नहीं है, लेकिन इसकी गंभीरता को देखते हुए सक्रिय शोषण की संभावना है।

CVE-2025-48387 के लिए आधिकारिक Node.js सलाहकार कहां मिल सकता है?

आधिकारिक सलाहकार के लिए Google Open Source Security Team की वेबसाइट देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें