抽出フィルタをバイパスして、抽出ディレクトリ外の任意のターゲットへのシンボリックリンクを作成する

この脆弱性を悪用されると、攻撃者はtarアーカイブを展開する際に、シンボリックリンクを介して展開先ディレクトリ外の任意のファイルにアクセスし、上書きすることが可能になります。これにより、システムファイルが改ざんされたり、機密情報が漏洩したりする可能性があります。特に、tarアーカイブの信頼性を検証せずに展開する場合、この脆弱性が悪用されるリスクが高まります。攻撃者は、この脆弱性を利用して、システム全体の制御を奪取する可能性も考えられます。

Systems using Python 3.10.0 through 3.14.0b3 that process untrusted tar archives are at risk. This includes web applications, automation scripts, and any system that relies on the tarfile module to extract archives from external sources. Shared hosting environments where multiple users can upload files are particularly vulnerable.

• python / server:

find / -name '*tar.gz' -o -name '*tar.bz2' -o -name '*tar'

• python / supply-chain:

import os
import tarfile

def check_tarfile_extraction(filepath, destination):
    try:
        with tarfile.open(filepath, 'r') as tar:
            tar.extractall(path=destination, filter='data') # Vulnerable code
        return False # No vulnerability detected
    except Exception as e:
        return True # Vulnerability detected

# Example usage (replace with actual filepaths)
filepath = '/path/to/your/archive.tar.gz'
destination = '/tmp/extraction_test'
if check_tarfile_extraction(filepath, destination):
    print(f"Potential vulnerability detected in {filepath}")
else:
    print(f"No vulnerability detected in {filepath}")

1. 2025-06-03Disclosure

   disclosure

1. 予約済み2025-04-30
2. 公開日2025-06-03
3. 更新日2026-04-21
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずPythonのバージョンを3.14.0b3以降にアップデートすることを推奨します。アップデートが困難な場合は、tarfileモジュールのfilterパラメータを使用しない、または信頼できるソースからのtarアーカイブのみを展開するように制限してください。WAFやプロキシサーバーを使用している場合は、tarアーカイブの展開に関連する不正なリクエストを検出・ブロックするルールを実装することも有効です。展開前にtarアーカイブの整合性を検証するスクリプトを導入することも推奨されます。