HIGHCVE-2025-48387CVSS 7.5

特定のtarballを使用すると、tar-fsは指定されたディレクトリ外にファイルを抽出できる

Q: CVE-2025-48387 — ファイルシステム脆弱性 in tar-fsとは何ですか？

CVE-2025-48387は、Node.jsのtar-fsライブラリにおけるファイルシステム脆弱性で、symlinkなどの非ファイル/ディレクトリの処理不備により、悪意のあるファイルが実行される可能性があります。

Q: CVE-2025-48387 in tar-fsに影響を受けますか？

tar-fsのバージョンがv3.0.8以下、v2.1.2以下、v1.16.4以下を使用している場合、影響を受けます。バージョン1.16.5以降にアップデートしてください。

Q: CVE-2025-48387 in tar-fsを修正するにはどうすればよいですか？

tar-fsライブラリをバージョン1.16.5以降にアップデートしてください。アップデートが困難な場合は、ignoreオプションによる回避策を検討してください。

Q: CVE-2025-48387は積極的に悪用されていますか？

現時点で公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されています。

Q: CVE-2025-48387に関するtar-fsの公式アドバイザリはどこで入手できますか？

tar-fsの公式アドバイザリは、GitHubリポジトリのissueトラッカーなどで確認できます。

プラットフォーム

nodejs

コンポーネント

tar-fs

修正版

1.16.6

2.0.1

3.0.1

1.16.5

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-48387は、Node.jsのtar-fsライブラリにおけるファイルシステム脆弱性です。この脆弱性は、symlinkなどの非ファイル/ディレクトリの処理不備により、悪意のあるファイルが実行される可能性を秘めています。影響を受けるバージョンは、tar-fs v3.0.8以下、v2.1.2以下、v1.16.4以下です。バージョン1.16.5以降で修正されており、ignoreオプションによる回避策も提供されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はtarアーカイブを操作し、悪意のあるファイルをシステム上で実行させることが可能になります。特に、tarアーカイブを解凍する際に、symlinkなどの非ファイル/ディレクトリが適切に処理されない場合、攻撃者はこれを利用して任意のコードを実行できる可能性があります。この脆弱性は、Node.jsアプリケーションがtarアーカイブを処理する際に、機密情報の漏洩やシステムの制御権奪取につながる重大なリスクをもたらします。類似の脆弱性は、アーカイブ処理の不備から発生する可能性があり、注意が必要です。

悪用の状況

この脆弱性は、CISA KEVリストに掲載されている可能性は低いですが、公開されている情報に基づいて、攻撃者による悪用が懸念されます。現時点で公開されているPoCは確認されていませんが、tarアーカイブの処理に関する知識を持つ攻撃者であれば、脆弱性を悪用する可能性があります。NVDおよびCISAの公開日（2025年6月3日）以降、攻撃者の動向を注視する必要があります。

リスク対象者翻訳中…

Applications built with Node.js that utilize the tar-fs library to process tar archives are at risk. This includes applications that handle user-uploaded archives or process data from untrusted sources. Specifically, applications relying on older versions of tar-fs (3.0.8 and below) are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list tar-fs

• nodejs / server:

  npm audit tar-fs

• nodejs / server: Check application code for instances where tar archives are extracted using the tar-fs library. Review code for proper validation of archive contents.

攻撃タイムライン

2025-06-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

NextGuard56% まだ脆弱

EPSS

0.28% (51% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントtar-fs

ベンダーosv

影響範囲修正版

< 1.16.5 – < 1.16.51.16.6

>= 2.0.0, < 2.1.3 – >= 2.0.0, < 2.1.32.0.1

>= 3.0.0, < 3.0.9 – >= 3.0.0, < 3.0.93.0.1

—1.16.5

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-05-19
公開日2025-06-03
更新日2026-02-04
EPSS 更新日2026-03-23

公開後-11日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まず、tar-fsライブラリをバージョン1.16.5以降にアップデートすることを推奨します。アップデートが困難な場合は、ignoreオプションを使用して、非ファイル/ディレクトリの処理を回避することができます。ignoreオプションは、ファイルとディレクトリのみを処理し、symlinkなどの他の種類のファイルを無視するように設定することで、脆弱性の悪用を防ぎます。WAFやプロキシサーバーの設定で、tarアーカイブの解凍処理を監視し、不審なアクティビティを検出することも有効です。アップデート後、ignoreオプションの設定が正しく機能していることを確認してください。

修正方法翻訳中…

Actualice la biblioteca tar-fs a la versión 3.0.9, 2.1.3 o 1.16.5, o superior. Esto corrige la vulnerabilidad que permite la escritura fuera del directorio especificado. Como alternativa, utilice la opción 'ignore' para ignorar archivos o directorios que no sean archivos regulares.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-48387 — ファイルシステム脆弱性 in tar-fsとは何ですか？