Kwetsbaar voor Path Traversal via een op maat gemaakt ZIP-bestand in github.com/mholt/archiver

Een succesvolle exploitatie van CVE-2025-3445 kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op het systeem waar de github.com/mholt/archiver bibliotheek wordt gebruikt. Dit kan omvatten configuratiebestanden, broncode, of andere vertrouwelijke gegevens. Afhankelijk van de privileges van de applicatie die de bibliotheek gebruikt, kan de aanvaller mogelijk ook de controle over het systeem overnemen. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden, waarbij de aanvaller de directory structuur kan 'navigeren' om toegang te krijgen tot verboden bronnen.

Applications and services that utilize the github.com/mholt/archiver Go library to process ZIP files are at risk. This includes applications that handle user-uploaded ZIP files or process ZIP archives from external sources. Go developers integrating this library into their projects should prioritize upgrading.

• go / supply-chain: Inspect dependencies for vulnerable versions of github.com/mholt/archiver. Use go list -m all and filter for versions < 3.0.1.

go list -m all | grep github.com/mholt/archiver | grep "< 3.0.1"

• generic web: Monitor web server access logs for requests containing suspicious ZIP file uploads with path traversal sequences (e.g., ../../../../etc/passwd). • generic web: Check for directory listings enabled on the server that could expose ZIP files.

1. 2025-08-05Disclosure

   disclosure

1. Gereserveerd2025-04-08
2. Gepubliceerd2025-08-05
3. Gewijzigd2026-02-04
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2025-3445 is het upgraden van de github.com/mholt/archiver bibliotheek naar versie 3.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van input validatie op de ZIP-bestanden die worden verwerkt. Controleer de bestandsnamen en paden in het ZIP-bestand om te voorkomen dat er paden buiten de beoogde directory worden geëxtraheerd. Gebruik een WAF (Web Application Firewall) om verdachte ZIP-bestanden te blokkeren. Na de upgrade, verifieer de fix door een kwaadaardig ZIP-bestand te creëren met een path traversal payload en controleer of de extractie mislukt.