निकालने वाले फ़िल्टर को बाईपास करके मनमाना लक्ष्य के बाहर सिम्लिंक बनाना निष्कर्षण निर्देशिका से

CVE-2025-4138 का शोषण करने वाला एक हमलावर लक्षित निर्देशिका के बाहर फ़ाइलों को निष्कर्षित करने में सक्षम होगा, जिससे संभावित रूप से संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है या सिस्टम पर हमलावर द्वारा नियंत्रित फ़ाइलों को लिखा जा सकता है। यह भेद्यता सिस्टम की अखंडता और गोपनीयता के लिए गंभीर खतरा पैदा करती है। उदाहरण के लिए, एक हमलावर एक दुर्भावनापूर्ण tar फ़ाइल बना सकता है जिसमें सिंबॉलिक लिंक शामिल हैं जो महत्वपूर्ण सिस्टम फ़ाइलों को इंगित करते हैं। जब यह फ़ाइल निष्कर्षित की जाती है, तो हमलावर इन फ़ाइलों को ओवरराइट कर सकता है, जिससे सिस्टम अस्थिर हो सकता है या हमलावर को नियंत्रण मिल सकता है।

Systems using Python 3.10.0 through 3.14.0b3 that process untrusted tar archives are at risk. This includes web applications, automation scripts, and any system that relies on the tarfile module to extract archives from external sources. Shared hosting environments where multiple users can upload files are particularly vulnerable.

• python / server:

find / -name '*tar.gz' -o -name '*tar.bz2' -o -name '*tar'

• python / supply-chain:

import os
import tarfile

def check_tarfile_extraction(filepath, destination):
    try:
        with tarfile.open(filepath, 'r') as tar:
            tar.extractall(path=destination, filter='data') # Vulnerable code
        return False # No vulnerability detected
    except Exception as e:
        return True # Vulnerability detected

# Example usage (replace with actual filepaths)
filepath = '/path/to/your/archive.tar.gz'
destination = '/tmp/extraction_test'
if check_tarfile_extraction(filepath, destination):
    print(f"Potential vulnerability detected in {filepath}")
else:
    print(f"No vulnerability detected in {filepath}")

1. 2025-06-03Disclosure

   disclosure

1. आरक्षित2025-04-30
2. प्रकाशित2025-06-03
3. संशोधित2026-04-21
4. EPSS अद्यतन2026-03-23

CVE-2025-4138 को कम करने के लिए, Python के नवीनतम संस्करण में अपग्रेड करने की अनुशंसा की जाती है, जो 3.14.0b3 है। यदि अपग्रेड संभव नहीं है, तो filter पैरामीटर का उपयोग करते समय अत्यधिक सावधानी बरतें और केवल विश्वसनीय स्रोतों से tar फ़ाइलों को निष्कर्षित करें। एक वैकल्पिक उपाय के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है जो दुर्भावनापूर्ण tar फ़ाइलों को फ़िल्टर कर सकता है। इसके अतिरिक्त, tar फ़ाइलों को निष्कर्षित करने से पहले उनकी सामग्री को सत्यापित करने के लिए स्क्रिप्ट विकसित की जा सकती हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, निष्कर्षण फ़िल्टर के साथ एक परीक्षण tar फ़ाइल निष्कर्षित करके सत्यापित करें।