HIGHCVE-2025-3445CVSS 8.1

細工されたZIPファイルによるPath Traversalの脆弱性 (github.com/mholt/archiver)

Q: CVE-2025-3445 — パス・トラバーサル脆弱性は、archiver Goライブラリで何ですか？

CVE-2025-3445は、github.com/mholt/archiverライブラリにおけるパス・トラバーサル脆弱性で、悪意のあるZIPファイルによりファイルシステムへの不正アクセスを可能にします。

Q: CVE-2025-3445でarchiver Goライブラリを使用している場合、影響を受けますか？

影響を受けるバージョンは特定されていませんが、バージョン3.0.1で修正されています。ライブラリのバージョンを確認し、アップデートを検討してください。

Q: CVE-2025-3445でarchiver Goライブラリを修正するにはどうすればよいですか？

バージョン3.0.1へのアップデートが推奨されます。アップデートできない場合は、ZIPファイルの処理を制限し、ファイルパスを検証するカスタムロジックを実装してください。

Q: CVE-2025-3445に関するarchiver Goライブラリの公式アドバイザリはどこで入手できますか？

github.com/mholt/archiverの公式リポジトリまたは関連するセキュリティアナウンスメントを確認してください。

プラットフォーム

コンポーネント

github.com/mholt/archiver

修正版

3.5.2

AI Confidence: highNVDEPSS 0.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-3445は、Go言語で書かれたgithub.com/mholt/archiverライブラリにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステム内の機密情報にアクセスしたり、システムを操作したりする可能性があります。影響を受けるバージョンは特定されていませんが、バージョン3.0.1で修正されています。迅速な対応が推奨されます。

影響と攻撃シナリオ

この脆弱性は、攻撃者が特別に細工されたZIPファイルをarchiverライブラリに処理させることで、ファイルシステムの任意の場所にアクセスすることを可能にします。これにより、機密情報（APIキー、データベース接続文字列、ソースコードなど）が漏洩する可能性があります。さらに、攻撃者はシステムファイルを上書きしたり、悪意のあるコードを実行したりすることで、システムを完全に制御する可能性があります。この脆弱性は、ZIPファイル処理機能を実装しているアプリケーションに広く影響を及ぼす可能性があります。

悪用の状況

この脆弱性は2025年8月5日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であるため、早期の悪用が懸念されます。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Applications and services that utilize the github.com/mholt/archiver Go library to process ZIP files are at risk. This includes applications that handle user-uploaded ZIP files or process ZIP archives from external sources. Go developers integrating this library into their projects should prioritize upgrading.

検出手順翻訳中…

• go / supply-chain: Inspect dependencies for vulnerable versions of github.com/mholt/archiver. Use go list -m all and filter for versions < 3.0.1.

go list -m all | grep github.com/mholt/archiver | grep "< 3.0.1"

• generic web: Monitor web server access logs for requests containing suspicious ZIP file uploads with path traversal sequences (e.g., ../../../../etc/passwd). • generic web: Check for directory listings enabled on the server that could expose ZIP files.

攻撃タイムライン

2025-08-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.67% (71% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/mholt/archiver

ベンダーosv

影響範囲修正版

v3.0.0 – v3.5.13.5.2

3.5.13.5.2

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-04-08
公開日2025-08-05
更新日2026-02-04
EPSS 更新日2026-03-23

緩和策と回避策

バージョン3.0.1へのアップデートが推奨されます。アップデートできない場合は、ZIPファイルの処理を厳密に制限し、信頼できないソースからのZIPファイルの処理を避ける必要があります。WAF（Web Application Firewall）を使用している場合は、パス・トラバーサル攻撃を検出およびブロックするようにルールを設定することを検討してください。また、ZIPファイルの展開前に、ファイルパスを検証し、許可されたディレクトリ外へのアクセスを防止するカスタムの検証ロジックを実装することも有効です。

修正方法翻訳中…

Actualice a una versión de la librería mholt/archiver que no sea vulnerable. Considere migrar a mholt/archives, el sucesor de mholt/archiver, que ha eliminado la funcionalidad Unarchive(). Si no es posible actualizar, evite usar la función archiver.Unarchive() con archivos ZIP provenientes de fuentes no confiables.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-3445 — パス・トラバーサル脆弱性は、archiver Goライブラリで何ですか？