Platform
nodejs
Component
tar-fs
Opgelost in
3.0.1
2.0.1
1.16.6
3.1.1
CVE-2025-59343 beschrijft een symlink-vulnerability in de tar-fs bibliotheek. Deze kwetsbaarheid kan misbruikt worden om onbedoeld bestanden te manipuleren, wat kan leiden tot data-integriteitsproblemen. De kwetsbaarheid treft versies van tar-fs tot en met 3.1.0, 2.1.3 en 1.16.5. Een patch is beschikbaar in 3.1.1, 2.1.4 en 1.16.6.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een kwaadwillende symlink in een tar-archief te plaatsen. Wanneer tar-fs deze archief uitpakt, kan de aanvaller bestanden buiten de beoogde directory schrijven of overschrijven, wat resulteert in dataverlies of -corruptie. De impact is afhankelijk van de privileges van het proces dat tar-fs gebruikt. In een omgeving met verhoogde privileges kan dit leiden tot een grotere impact, zoals het compromitteren van het hele systeem. Dit soort manipulatie kan vergelijkbaar zijn met exploits die gebruik maken van onveilige bestandspaden.
Er is momenteel geen publieke exploit bekend voor CVE-2025-59343. De kwetsbaarheid is gemeld door Mapta / BugBunny_ai en gepubliceerd op 2025-09-24. De EPSS score is momenteel onbekend, maar gezien het ontbreken van publieke exploits wordt de kans op actieve exploitatie als laag beschouwd. Controleer de NVD en CISA websites voor updates.
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
De primaire mitigatie is het updaten naar een patched versie van tar-fs: 3.1.1, 2.1.4 of 1.16.6. Indien een directe upgrade niet mogelijk is, kan de 'ignore' optie gebruikt worden om symlinks te negeren tijdens het uitpakken. Deze optie voorkomt dat symlinks worden gevolgd en dus de potentiële manipulatie. De code voor deze workaround is beschikbaar in de beschrijving. Na de upgrade, controleer of de tar-fs bibliotheek correct functioneert door een tar-archief uit te pakken en te verifiëren dat er geen onverwachte bestanden zijn aangemaakt of gewijzigd.
Actualice la biblioteca tar-fs a la versión 3.1.1, 2.1.4 o 1.16.6, o superior. Esto corrige la vulnerabilidad de omisión de validación de enlaces simbólicos. Como alternativa, utilice la opción `ignore` para excluir archivos y directorios no esenciales.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versions prior to 3.1.1, including 3.1.0, 2.1.3, and 1.16.5, are vulnerable to CVE-2025-59343.
No, the 'ignore' option is a temporary solution. The permanent solution is to upgrade to a patched version (3.1.1, 2.1.4, or 1.16.6).
Check the version of tar-fs you are using. If it is older than the patched versions, it is vulnerable.
Not patching this vulnerability could allow an attacker to execute malicious code, modify data, or compromise system security.
You can find more information about CVE-2025-59343 in vulnerability databases and security advisories from tar-fs providers.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.