Plataforma
nodejs
Componente
tar-fs
Corrigido em
1.16.6
2.0.1
3.0.1
1.16.5
A vulnerabilidade CVE-2025-48387 afeta a biblioteca tar-fs para Node.js, permitindo a leitura de arquivos arbitrários. Essa falha pode ser explorada para acessar informações sensíveis no sistema. Versões afetadas incluem 3.0.8 e anteriores, 2.1.2 e anteriores, e 1.16.4 e anteriores. A correção está disponível nas versões 3.0.9, 2.1.3 e 1.16.5.
Um atacante pode explorar esta vulnerabilidade para ler arquivos que não deveria ter acesso, potencialmente expondo informações confidenciais como chaves de API, senhas, dados de configuração ou código-fonte. A exploração bem-sucedida pode levar a uma violação de dados significativa e comprometer a integridade do sistema. A ausência de validação adequada dos tipos de arquivos durante o processo de extração permite que um atacante manipule o arquivo tar para incluir caminhos para arquivos fora do diretório esperado, resultando na leitura de arquivos arbitrários no sistema de arquivos subjacente. Esta vulnerabilidade se assemelha a outros casos de falhas de segurança em bibliotecas de manipulação de arquivos que não validam adequadamente os dados de entrada.
A vulnerabilidade foi descoberta e reportada detalhadamente pela equipe de segurança de código aberto do Google. A probabilidade de exploração é considerada média, dado que a biblioteca tar-fs é amplamente utilizada em diversos projetos Node.js. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A vulnerabilidade foi adicionada ao NVD em 2025-06-03.
Applications built with Node.js that utilize the tar-fs library to process tar archives are at risk. This includes applications that handle user-uploaded archives or process data from untrusted sources. Specifically, applications relying on older versions of tar-fs (3.0.8 and below) are particularly vulnerable.
• nodejs / server:
npm list tar-fs• nodejs / server:
npm audit tar-fs• nodejs / server:
Check application code for instances where tar archives are extracted using the tar-fs library. Review code for proper validation of archive contents.
disclosure
Status do Exploit
EPSS
0.28% (percentil 51%)
CISA SSVC
A correção primária é atualizar a biblioteca tar-fs para a versão 3.0.9, 2.1.3 ou 1.16.5. Se a atualização imediata não for possível devido a problemas de compatibilidade, uma mitigação temporária é utilizar a opção 'ignore' para ignorar tipos de arquivos que não são arquivos ou diretórios durante o processo de extração. Essa abordagem impede que o tar-fs tente processar outros tipos de arquivos, reduzindo a superfície de ataque. Implemente a regra ignore (_, header) { return header.type !== 'file' && header.type !== 'directory' } no seu código. Após a atualização, confirme a correção verificando se a biblioteca tar-fs está na versão corrigida usando npm list tar-fs ou yarn list tar-fs.
Actualice la biblioteca tar-fs a la versión 3.0.9, 2.1.3 o 1.16.5, o superior. Esto corrige la vulnerabilidad que permite la escritura fuera del directorio especificado. Como alternativa, utilice la opción 'ignore' para ignorar archivos o directorios que no sean archivos regulares.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-48387 is a HIGH severity vulnerability affecting Node.js tar-fs versions 3.0.8 and below, allowing attackers to extract malicious files from crafted tar archives.
You are affected if you are using Node.js tar-fs versions 3.0.8, 2.1.2, or 1.16.4 or earlier. Upgrade to 3.0.9, 2.1.3, or 1.16.5 to resolve the issue.
Upgrade to version 3.0.9, 2.1.3, or 1.16.5. As a temporary workaround, use the ignore option to filter out non-file/directory entries during extraction.
As of the public disclosure date, there is no evidence of active exploitation, but the potential for exploitation exists.
Refer to the project's repository or relevant security mailing lists for the official advisory. Check the Google Open Source Security Team's reports for more details.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.