平台
nodejs
组件
tar-fs
修复版本
3.0.1
2.0.1
1.16.6
3.1.1
CVE-2025-59343 是 tar-fs 组件中的文件系统漏洞。该漏洞可能允许攻击者利用 tar 归档文件中的特殊条目,从而导致潜在的安全问题。受影响的版本包括 tar-fs v3.1.0 及以下,v2.1.3 及以下,以及 v1.16.5 及以下。已在 3.1.1、2.1.4 和 1.16.6 版本中修复。
该漏洞源于 tar-fs 在处理归档文件时未能正确验证条目的类型。攻击者可以构造恶意的 tar 归档文件,其中包含指向文件系统之外的符号链接或其他特殊条目。当 tar-fs 提取这些归档文件时,可能会导致攻击者写入任意文件或执行其他恶意操作。潜在的影响包括数据泄露、代码执行以及系统完整性受损。虽然目前没有公开的利用代码,但该漏洞的严重性表明攻击者可能会利用它来破坏 Node.js 应用程序。
该漏洞由 Mapta / BugBunny_ai 报告。目前尚未将其添加到 CISA KEV 目录中,也没有公开的利用代码。然而,由于其 CVSS 评分为高,因此应将其视为潜在的安全威胁。建议密切关注漏洞的动态,并及时采取缓解措施。
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
最有效的缓解措施是升级到已修复的版本:tar-fs 3.1.1 或更高版本,2.1.4 或更高版本,以及 1.16.6 或更高版本。如果无法立即升级,可以考虑使用 ignore 选项来忽略非文件和非目录条目。这可以防止 tar-fs 处理符号链接和其他潜在的恶意条目。请注意,这只是一个临时解决方案,不能完全消除风险。在升级后,请验证 tar-fs 是否已成功升级到修复版本,并检查应用程序日志中是否有任何异常。
Actualice la biblioteca tar-fs a la versión 3.1.1, 2.1.4 o 1.16.6, o superior. Esto corrige la vulnerabilidad de omisión de validación de enlaces simbólicos. Como alternativa, utilice la opción `ignore` para excluir archivos y directorios no esenciales.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-59343 是 tar-fs 组件中的一个文件系统漏洞,可能允许攻击者利用恶意 tar 归档文件来执行恶意操作。
如果您正在使用 tar-fs 版本低于 3.1.1, 2.1.4, 或 1.16.6,则可能受到影响。
建议升级到 tar-fs 3.1.1 或更高版本,2.1.4 或更高版本,以及 1.16.6 或更高版本。
目前没有公开的利用代码,但由于其高危级别,应密切关注。
请查阅 tar-fs 项目的官方 GitHub 仓库或相关安全公告。