Plataforma
nodejs
Componente
tar-fs
Corrigido em
3.0.1
2.0.1
1.16.6
3.1.1
A vulnerabilidade CVE-2025-59343 afeta a biblioteca tar-fs para Node.js, permitindo a manipulação de arquivos devido a uma falha no tratamento de links simbólicos. Essa falha pode ser explorada para comprometer a integridade dos dados e potencialmente levar a outras vulnerabilidades. As versões afetadas incluem 3.1.0 e anteriores, 2.1.3 e anteriores, e 1.16.5 e anteriores. A correção foi implementada nas versões 3.1.1, 2.1.4 e 1.16.6.
Um atacante pode explorar essa vulnerabilidade para manipular arquivos dentro do sistema, potencialmente substituindo arquivos legítimos por versões maliciosas. Isso pode levar à execução de código arbitrário, roubo de dados confidenciais ou interrupção do serviço. A exploração bem-sucedida depende da capacidade do atacante de injetar arquivos maliciosos no fluxo de extração do tar-fs. A falta de validação adequada dos tipos de arquivo permite que links simbólicos sejam tratados de forma inesperada, abrindo caminho para a manipulação. A extensão dessa vulnerabilidade depende do contexto de uso do tar-fs e dos privilégios do atacante.
A vulnerabilidade foi reportada por Mapta / BugBunny_ai e publicada em 2025-09-24. A probabilidade de exploração é considerada média, dada a disponibilidade da correção e a necessidade de um atacante para injetar arquivos maliciosos no fluxo de extração. Não há evidências de exploração ativa em campanhas conhecidas no momento da publicação. A vulnerabilidade não está listada no KEV da CISA.
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
A mitigação primária é atualizar a biblioteca tar-fs para a versão corrigida (3.1.1, 2.1.4 ou 1.16.6). Se a atualização imediata não for possível, uma solução alternativa é utilizar a opção 'ignore' para ignorar arquivos e diretórios que não são do tipo esperado. Isso impede o processamento de links simbólicos e outros tipos de arquivos potencialmente maliciosos. Implemente a função 'ignore' conforme o exemplo fornecido. Após a atualização ou implementação da solução alternativa, verifique a integridade do sistema e confirme que a vulnerabilidade foi corrigida executando testes de extração de arquivos tar com diferentes tipos de arquivos, incluindo links simbólicos.
Actualice la biblioteca tar-fs a la versión 3.1.1, 2.1.4 o 1.16.6, o superior. Esto corrige la vulnerabilidad de omisión de validación de enlaces simbólicos. Como alternativa, utilice la opción `ignore` para excluir archivos y directorios no esenciales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Versions prior to 3.1.1, including 3.1.0, 2.1.3, and 1.16.5, are vulnerable to CVE-2025-59343.
No, the 'ignore' option is a temporary solution. The permanent solution is to upgrade to a patched version (3.1.1, 2.1.4, or 1.16.6).
Check the version of tar-fs you are using. If it is older than the patched versions, it is vulnerable.
Not patching this vulnerability could allow an attacker to execute malicious code, modify data, or compromise system security.
You can find more information about CVE-2025-59343 in vulnerability databases and security advisories from tar-fs providers.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.