平台
nodejs
组件
tar-fs
修复版本
1.16.6
2.0.1
3.0.1
1.16.5
CVE-2025-48387 是 tar-fs 文件系统组件中的一个高危漏洞。该漏洞可能允许攻击者利用 tar 归档文件中的特殊条目,导致拒绝服务或潜在的权限提升。受影响的版本包括 tar-fs v3.0.8 及以下,v2.1.2 及以下,以及 v1.16.4 及以下。已在 3.0.9、2.1.3 和 1.16.5 版本中修复此问题。
此漏洞的潜在影响是严重的。攻击者可以构造恶意的 tar 归档文件,当 tar-fs 尝试处理这些文件时,可能导致服务崩溃或程序异常退出,从而造成拒绝服务。更严重的情况下,攻击者可能利用此漏洞获得更高的权限,访问敏感数据或执行恶意代码。由于 tar 归档文件广泛应用于软件分发和备份,因此该漏洞可能影响到使用 tar-fs 的各种应用程序和服务。
目前尚无公开的漏洞利用代码 (PoC),但该漏洞已被 Google Open Source Security Team 的 Caleb Brown 发现并详细报告。由于该漏洞的严重性和潜在影响,建议密切关注相关信息,并及时采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。
Applications built with Node.js that utilize the tar-fs library to process tar archives are at risk. This includes applications that handle user-uploaded archives or process data from untrusted sources. Specifically, applications relying on older versions of tar-fs (3.0.8 and below) are particularly vulnerable.
• nodejs / server:
npm list tar-fs• nodejs / server:
npm audit tar-fs• nodejs / server:
Check application code for instances where tar archives are extracted using the tar-fs library. Review code for proper validation of archive contents.
disclosure
漏洞利用状态
EPSS
0.28% (51% 百分位)
CISA SSVC
为了缓解此漏洞,建议立即升级到 tar-fs 1.16.5 或更高版本。如果无法立即升级,可以考虑使用 ignore 选项来忽略非文件和非目录类型的条目,从而限制潜在的攻击面。例如,在 tar-fs 的配置中添加 ignore 函数,只允许处理文件和目录,忽略符号链接等其他类型。升级后,请验证新版本是否正确安装并配置,确认漏洞已成功修复。
Actualice la biblioteca tar-fs a la versión 3.0.9, 2.1.3 o 1.16.5, o superior. Esto corrige la vulnerabilidad que permite la escritura fuera del directorio especificado. Como alternativa, utilice la opción 'ignore' para ignorar archivos o directorios que no sean archivos regulares.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-48387 是 tar-fs 文件系统组件中的一个高危漏洞,可能导致拒绝服务或权限提升。
如果您的 tar-fs 版本低于 1.16.5,则可能受到影响。请检查您的 tar-fs 版本,并根据需要采取缓解措施。
建议立即升级到 tar-fs 1.16.5 或更高版本。如果无法升级,可以考虑使用 ignore 选项来限制攻击面。
目前尚无公开的漏洞利用代码,但由于漏洞的严重性,建议密切关注相关信息。
请查阅 tar-fs 项目的官方 GitHub 仓库或相关安全公告,以获取更多信息。