Plataforma
go
Componente
github.com/mholt/archiver
Corrigido em
3.5.2
3.5.2
O CVE-2025-3445 representa uma vulnerabilidade de Path Traversal na biblioteca github.com/mholt/archiver. Essa falha permite que um atacante, através da manipulação de arquivos ZIP, acesse arquivos e diretórios fora do escopo pretendido. Versões anteriores a 3.0.1 do archiver são afetadas. A correção foi disponibilizada na versão 3.0.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos arbitrários no sistema de arquivos do servidor onde a biblioteca archiver está sendo utilizada. Isso pode levar à exposição de informações confidenciais, como chaves de API, senhas, dados de configuração ou código-fonte. Em cenários mais graves, um atacante pode até mesmo conseguir executar código malicioso no servidor, dependendo das permissões do usuário sob o qual a aplicação está rodando. A vulnerabilidade é particularmente preocupante em aplicações que processam arquivos ZIP fornecidos pelo usuário, pois um arquivo ZIP malicioso pode ser usado para contornar as restrições de acesso.
A vulnerabilidade foi divulgada em 2025-08-05. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. É recomendável monitorar as fontes de inteligência de ameaças para atualizações.
Applications and services that utilize the github.com/mholt/archiver Go library to process ZIP files are at risk. This includes applications that handle user-uploaded ZIP files or process ZIP archives from external sources. Go developers integrating this library into their projects should prioritize upgrading.
• go / supply-chain: Inspect dependencies for vulnerable versions of github.com/mholt/archiver. Use go list -m all and filter for versions < 3.0.1.
go list -m all | grep github.com/mholt/archiver | grep "< 3.0.1"• generic web: Monitor web server access logs for requests containing suspicious ZIP file uploads with path traversal sequences (e.g., ../../../../etc/passwd).
• generic web: Check for directory listings enabled on the server that could expose ZIP files.
disclosure
Status do Exploit
EPSS
0.67% (percentil 71%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2025-3445 é atualizar a biblioteca github.com/mholt/archiver para a versão 3.0.1 ou superior. Se a atualização imediata não for possível, implemente uma validação rigorosa dos caminhos dos arquivos extraídos dos arquivos ZIP. Isso pode envolver a verificação de que os caminhos extraídos estão dentro de um diretório específico e não contêm sequências como ../. Considere o uso de uma lista de permissões (whitelist) para os caminhos permitidos. Em ambientes de produção, monitore os logs do sistema em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice a una versión de la librería mholt/archiver que no sea vulnerable. Considere migrar a mholt/archives, el sucesor de mholt/archiver, que ha eliminado la funcionalidad Unarchive(). Si no es posible actualizar, evite usar la función archiver.Unarchive() con archivos ZIP provenientes de fuentes no confiables.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-3445 is a Path Traversal vulnerability in the github.com/mholt/archiver Go library, allowing attackers to read arbitrary files via crafted ZIP files.
You are affected if you are using a version of github.com/mholt/archiver prior to 3.0.1 and process ZIP files.
Upgrade the github.com/mholt/archiver library to version 3.0.1 or later. Implement input validation on ZIP file contents as a temporary workaround.
There is currently no confirmed active exploitation, but public proof-of-concept code is expected.
Refer to the GitHub repository for updates and advisories: https://github.com/mholt/archiver
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.