प्लेटफ़ॉर्म
go
घटक
github.com/mholt/archiver
में ठीक किया गया
3.5.2
3.5.2
CVE-2025-3445 github.com/mholt/archiver लाइब्रेरी में एक पाथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण ZIP फ़ाइलों का उपयोग करके सिस्टम फ़ाइलों तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। यह भेद्यता github.com/mholt/archiver के संस्करणों को प्रभावित करती है जो 3.0.1 से पहले हैं। लाइब्रेरी को संस्करण 3.0.1 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को आर्काइविंग प्रक्रिया के दौरान सिस्टम फ़ाइलों तक पहुंचने की अनुमति देती है। एक हमलावर एक विशेष रूप से तैयार की गई ZIP फ़ाइल अपलोड कर सकता है, जो आर्काइवर को रूट निर्देशिका के बाहर फ़ाइलों को निकालने के लिए प्रेरित करती है। इससे संवेदनशील डेटा का प्रकटीकरण, सिस्टम फ़ाइलों का संशोधन या यहां तक कि सिस्टम पर कोड निष्पादन हो सकता है। इस भेद्यता का प्रभाव उस एप्लिकेशन पर निर्भर करता है जो आर्काइवर लाइब्रेरी का उपयोग करता है, लेकिन इसमें डेटा उल्लंघन, सेवा से इनकार और सिस्टम समझौता शामिल हो सकते हैं।
CVE-2025-3445 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर और आसानी से शोषण करने की क्षमता के कारण, यह शोषण के लिए एक संभावित लक्ष्य है। इस भेद्यता को सार्वजनिक रूप से 2025-08-05 को खुलासा किया गया था। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति के कारण, एक PoC का विकास संभव है।
Applications and services that utilize the github.com/mholt/archiver Go library to process ZIP files are at risk. This includes applications that handle user-uploaded ZIP files or process ZIP archives from external sources. Go developers integrating this library into their projects should prioritize upgrading.
• go / supply-chain: Inspect dependencies for vulnerable versions of github.com/mholt/archiver. Use go list -m all and filter for versions < 3.0.1.
go list -m all | grep github.com/mholt/archiver | grep "< 3.0.1"• generic web: Monitor web server access logs for requests containing suspicious ZIP file uploads with path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check for directory listings enabled on the server that could expose ZIP files.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.67% (71% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-3445 के लिए प्राथमिक शमन उपाय github.com/mholt/archiver लाइब्रेरी को संस्करण 3.0.1 या बाद के संस्करण में अपडेट करना है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट सत्यापन लागू करें ताकि यह सुनिश्चित किया जा सके कि ZIP फ़ाइलों में पथ ट्रैवर्सल हमलों को रोकने के लिए केवल अपेक्षित फ़ाइलें शामिल हैं। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर किया जा सकता है ताकि दुर्भावनापूर्ण ZIP फ़ाइलों को ब्लॉक किया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए सिस्टम का परीक्षण करें कि भेद्यता का समाधान हो गया है।
Actualice a una versión de la librería mholt/archiver que no sea vulnerable. Considere migrar a mholt/archives, el sucesor de mholt/archiver, que ha eliminado la funcionalidad Unarchive(). Si no es posible actualizar, evite usar la función archiver.Unarchive() con archivos ZIP provenientes de fuentes no confiables.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-3445 github.com/mholt/archiver लाइब्रेरी में एक भेद्यता है जो हमलावरों को दुर्भावनापूर्ण ZIP फ़ाइलों का उपयोग करके सिस्टम फ़ाइलों तक पहुंचने की अनुमति देती है।
यदि आप github.com/mholt/archiver के संस्करण 3.0.1 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
github.com/mholt/archiver लाइब्रेरी को संस्करण 3.0.1 या बाद के संस्करण में अपडेट करें।
CVE-2025-3445 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर के कारण, यह शोषण के लिए एक संभावित लक्ष्य है।
github.com/mholt/archiver प्रोजेक्ट के भंडार या संबंधित सुरक्षा सलाह में आधिकारिक सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।