प्लेटफ़ॉर्म
nodejs
घटक
tar-fs
में ठीक किया गया
1.16.6
2.0.1
3.0.1
1.16.5
CVE-2025-48387 tar-fs लाइब्रेरी में एक फ़ाइल सिस्टम भेद्यता है जो Node.js अनुप्रयोगों को प्रभावित कर सकती है। यह भेद्यता हमलावरों को अनपेक्षित फ़ाइलों को संसाधित करने की अनुमति दे सकती है, जिससे संभावित रूप से डेटा हानि या सिस्टम समझौता हो सकता है। यह भेद्यता tar-fs के संस्करण 3.0.8, 2.1.2 और 1.16.4 और उससे पहले के संस्करणों को प्रभावित करती है। इसे संस्करण 1.16.5, 2.1.3 और 3.0.9 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को tar-fs लाइब्रेरी का उपयोग करते समय अनपेक्षित फ़ाइलों को संसाधित करने की अनुमति देती है। इसका मतलब है कि हमलावर दुर्भावनापूर्ण फ़ाइलों को सिस्टम में इंजेक्ट कर सकते हैं और उन्हें निष्पादित कर सकते हैं, जिससे संभावित रूप से डेटा हानि, सिस्टम समझौता या अन्य हानिकारक परिणाम हो सकते हैं। इस भेद्यता का उपयोग करके, एक हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, सिस्टम को नियंत्रित कर सकता है, या सेवा से इनकार (DoS) हमला शुरू कर सकता है। इस भेद्यता का प्रभाव उस संदर्भ पर निर्भर करता है जिसमें tar-fs का उपयोग किया जा रहा है।
इस भेद्यता की सार्वजनिक रूप से जानकारी 2025-06-03 को जारी की गई थी। Caleb Brown द्वारा Google Open Source Security Team को रिपोर्ट की गई थी। इस भेद्यता के लिए अभी तक कोई सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) नहीं है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, सक्रिय शोषण की संभावना है। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है।
Applications built with Node.js that utilize the tar-fs library to process tar archives are at risk. This includes applications that handle user-uploaded archives or process data from untrusted sources. Specifically, applications relying on older versions of tar-fs (3.0.8 and below) are particularly vulnerable.
• nodejs / server:
npm list tar-fs• nodejs / server:
npm audit tar-fs• nodejs / server:
Check application code for instances where tar archives are extracted using the tar-fs library. Review code for proper validation of archive contents.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.28% (51% शतमक)
CISA SSVC
CVE-2025-48387 को कम करने के लिए, tar-fs लाइब्रेरी को संस्करण 1.16.5, 2.1.3 या 3.0.9 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप ignore विकल्प का उपयोग करके गैर-फ़ाइलों और गैर-निर्देशिकाओं को अनदेखा कर सकते हैं। यह सुनिश्चित करें कि आपके Node.js एप्लिकेशन में फ़ाइल प्रोसेसिंग के लिए उचित इनपुट सत्यापन और सैनिटाइजेशन लागू किया गया है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग दुर्भावनापूर्ण अनुरोधों को ब्लॉक करने के लिए किया जा सकता है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइलों को संसाधित करके और यह सुनिश्चित करके कि केवल अपेक्षित फ़ाइलें ही संसाधित की जा रही हैं।
Actualice la biblioteca tar-fs a la versión 3.0.9, 2.1.3 o 1.16.5, o superior. Esto corrige la vulnerabilidad que permite la escritura fuera del directorio especificado. Como alternativa, utilice la opción 'ignore' para ignorar archivos o directorios que no sean archivos regulares.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-48387 tar-fs लाइब्रेरी में एक भेद्यता है जो Node.js अनुप्रयोगों को प्रभावित करती है, जिससे हमलावरों को अनपेक्षित फ़ाइलों को संसाधित करने की अनुमति मिलती है।
यदि आप tar-fs के संस्करण 3.0.8, 2.1.2 या 1.16.4 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
tar-fs लाइब्रेरी को संस्करण 1.16.5, 2.1.3 या 3.0.9 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो ignore विकल्प का उपयोग करें।
हालांकि अभी तक कोई सार्वजनिक PoC उपलब्ध नहीं है, लेकिन इसकी गंभीरता को देखते हुए सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए Google Open Source Security Team की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।