tar-fs kan bestanden buiten de gespecificeerde map extraheren met een specifieke tarball

Een aanvaller kan deze kwetsbaarheid uitbuiten om symlinks te manipuleren binnen de tar-fs bibliotheek. Dit kan leiden tot het schrijven naar onbedoelde locaties, het overschrijven van belangrijke bestanden of het uitvoeren van code. De impact is aanzienlijk, omdat een succesvolle exploit de integriteit van het systeem kan compromitteren en mogelijk toegang kan verlenen tot gevoelige gegevens. De kwetsbaarheid is vergelijkbaar met scenario's waarin symlinks worden gebruikt om bestanden buiten de beoogde directory te schrijven, wat kan leiden tot privilege-escalatie of data-exfiltratie.

Applications built with Node.js that utilize the tar-fs library to process tar archives are at risk. This includes applications that handle user-uploaded archives or process data from untrusted sources. Specifically, applications relying on older versions of tar-fs (3.0.8 and below) are particularly vulnerable.

• nodejs / server:

  npm list tar-fs

• nodejs / server:

  npm audit tar-fs

• nodejs / server: Check application code for instances where tar archives are extracted using the tar-fs library. Review code for proper validation of archive contents.

1. 2025-06-03Disclosure

   disclosure

1. Gereserveerd2025-05-19
2. Gepubliceerd2025-06-03
3. Gewijzigd2026-02-04
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie is het upgraden naar een patched versie van tar-fs: 3.0.9, 2.1.3 of 1.16.5. Als een directe upgrade niet mogelijk is, kan de 'ignore' optie worden gebruikt om niet-bestanden en niet-directories te negeren. Dit voorkomt dat symlinks worden verwerkt. Configureer de 'ignore' functie zoals in het voorbeeld hieronder. Na de upgrade, bevestig de correcte werking door een tar-archief te extraheren en te controleren of er geen onverwachte bestandsbewerkingen plaatsvinden.

Laatste update

3.1.22 maanden geleden