Plataforma
python
Componente
tarfile
Corrigido em
3.10.18
3.11.13
3.12.11
3.13.4
3.14.0b3
A vulnerabilidade CVE-2025-4330 afeta o módulo tarfile do Python, permitindo que atacantes ignorem o filtro de extração em arquivos tar. Isso possibilita que alvos de links simbólicos apontem para fora do diretório de destino, resultando na modificação de metadados de arquivos. Versões afetadas incluem 3.10.0 até 3.14.0b3; a correção está disponível na versão 3.14.0b3.
Um atacante pode explorar esta vulnerabilidade ao fornecer um arquivo tar malicioso que contenha links simbólicos projetados para sobrescrever arquivos fora do diretório de extração pretendido. Isso pode levar à modificação de arquivos críticos do sistema, execução de código arbitrário ou negação de serviço. A capacidade de modificar metadados de arquivos também pode ser explorada para fins de escalonamento de privilégios ou para ocultar atividades maliciosas. A exploração bem-sucedida depende da utilização da função TarFile.extractall() ou TarFile.extract() com o parâmetro filter definido como 'data' ou 'tar' ao processar arquivos tar não confiáveis.
Esta vulnerabilidade foi divulgada em 03 de junho de 2025. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade e a ampla utilização do módulo tarfile em diversas aplicações Python. Não há evidências de exploração ativa em campanhas conhecidas no momento da redação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Systems that automatically process untrusted tar archives, such as build servers, data ingestion pipelines, or web applications that allow users to upload archives, are particularly at risk. Environments using older Python versions (3.10.0 - 3.14.0b3) are also vulnerable. Shared hosting environments where multiple users can upload files are also at increased risk.
• python / server:
find / -name '*.tar.gz' -o -name '*.tar.bz2' -o -name '*.tar'• python / server:
journalctl -u python3 | grep "TarFile.extractall" | grep "filter="• python / server:
ps aux | grep "TarFile.extractall" | grep "filter="disclosure
Status do Exploit
EPSS
0.36% (percentil 58%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 3.14.0b3 do Python, que corrige esta vulnerabilidade. Se a atualização imediata não for possível, evite o uso do parâmetro filter ao extrair arquivos tar não confiáveis. Considere o uso de uma camada de validação para verificar a integridade dos arquivos tar antes da extração. Implementar um Web Application Firewall (WAF) pode ajudar a bloquear solicitações maliciosas que tentam explorar esta vulnerabilidade. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à extração de arquivos tar.
Actualice la biblioteca CPython a la versión 3.10.18 o superior, 3.11.13 o superior, 3.12.11 o superior, 3.13.4 o superior, o 3.14.0b3 o superior. Evite usar el parámetro `filter=` con valores 'data' o 'tar' al extraer archivos tar no confiables con `TarFile.extractall()` o `TarFile.extract()`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-4330 is a directory traversal vulnerability in Python's tarfile module affecting versions 3.10.0–3.14.0b3. It allows attackers to write files outside the intended extraction directory when processing untrusted tar archives.
You are affected if you are using Python versions 3.10.0 through 3.14.0b3 and processing untrusted tar archives using TarFile.extractall() or TarFile.extract() with the filter parameter set to 'data' or 'tar'.
Upgrade to Python 3.14.0b3 or later. Alternatively, disable the filter parameter or implement strict input validation when extracting untrusted archives.
As of the current date, there are no known public exploits or active campaigns targeting CVE-2025-4330.
Refer to the official Python documentation and security advisories for detailed information: https://docs.python.org/3/library/tarfile.html#tarfile-extraction-filter
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.