CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2025-13462

LowCVSS 3.3
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.04%

13th percentile — higher than 13% of all known CVEs

Summary

Moduł tarfile w Pythonie błędnie normalizował bloki AREGTYPE (\x00) do DIRTYPE podczas przetwarzania wieloblokowych członków archiwum, takich jak GNUTYPE_LONGNAME lub GNUTYPE_LONGLINK. Może to prowadzić do błędnej interpretacji spreparowanego archiwum tar w porównaniu z innymi implementacjami.

Risk Assessment

Atakujący może stworzyć specjalnie spreparowane archiwum tar, które zostanie błędnie zinterpretowane przez moduł tarfile, co może prowadzić do nieoczekiwanego zachowania aplikacji, np. nadpisania plików lub pominięcia kontroli bezpieczeństwa.

Recommendation

Zaleca się aktualizację Pythona do wersji, w której naprawiono tę podatność (CVE-2025-13462). Jeśli aktualizacja nie jest możliwa, należy unikać przetwarzania archiwów tar z nieznanych źródeł.

Original NVD description (English source)

The "tarfile" module would still apply normalization of AREGTYPE (\x00) blocks to DIRTYPE, even while processing a multi-block member such as GNUTYPE_LONGNAME or GNUTYPE_LONGLINK. This could result in a crafted tar archive being misinterpreted by the tarfile module compared to other implementations.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS