Omzeilen van de extractiefilter om symlinks te maken naar willekeurige doelen buiten de extractiedirectory

Een succesvolle exploitatie van CVE-2025-4138 kan leiden tot ernstige gevolgen. Een aanvaller kan, door een kwaadaardig geconstrueerd tar-archief te leveren, bestanden naar willekeurige locaties op het systeem schrijven. Dit omvat potentieel het overschrijven van systeemconfiguratiebestanden, het installeren van malware of het verkrijgen van toegang tot gevoelige gegevens die buiten de extractiedirectory zijn opgeslagen. De impact is vergelijkbaar met andere directory traversal kwetsbaarheden, waarbij de mogelijkheid bestaat om de integriteit en vertrouwelijkheid van het systeem in gevaar te brengen. De kwetsbaarheid is vooral gevaarlijk in omgevingen waar Python wordt gebruikt om tar-archieven van onbetrouwbare bronnen te verwerken.

Systems using Python 3.10.0 through 3.14.0b3 that process untrusted tar archives are at risk. This includes web applications, automation scripts, and any system that relies on the tarfile module to extract archives from external sources. Shared hosting environments where multiple users can upload files are particularly vulnerable.

• python / server:

find / -name '*tar.gz' -o -name '*tar.bz2' -o -name '*tar'

• python / supply-chain:

import os
import tarfile

def check_tarfile_extraction(filepath, destination):
    try:
        with tarfile.open(filepath, 'r') as tar:
            tar.extractall(path=destination, filter='data') # Vulnerable code
        return False # No vulnerability detected
    except Exception as e:
        return True # Vulnerability detected

# Example usage (replace with actual filepaths)
filepath = '/path/to/your/archive.tar.gz'
destination = '/tmp/extraction_test'
if check_tarfile_extraction(filepath, destination):
    print(f"Potential vulnerability detected in {filepath}")
else:
    print(f"No vulnerability detected in {filepath}")

1. 2025-06-03Disclosure

   disclosure

1. Gereserveerd2025-04-30
2. Gepubliceerd2025-06-03
3. Gewijzigd2026-04-21
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2025-4138 is het upgraden naar Python versie 3.14.0b3 of hoger, waar de kwetsbaarheid is verholpen. Als een upgrade niet direct mogelijk is, kan het gebruik van de filter parameter in TarFile.extractall() of TarFile.extract() worden beperkt. Vermijd het gebruik van de filter parameter met de waarde 'data' of 'tar'. Een alternatieve mitigatie is het valideren van de extractiedirectory en het beperken van de toegang tot de bestanden die worden geëxtraheerd. Na de upgrade, controleer of de extractiefuncties correct werken met behulp van testarchieven om te bevestigen dat de kwetsbaarheid is verholpen.