Katalog CVE

CVE-2025-13462

NiskieCVSS 3.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Moduł tarfile w Pythonie błędnie normalizował bloki AREGTYPE (\x00) do DIRTYPE podczas przetwarzania wieloblokowych członków archiwum, takich jak GNUTYPE_LONGNAME lub GNUTYPE_LONGLINK. Może to prowadzić do błędnej interpretacji spreparowanego archiwum tar w porównaniu z innymi implementacjami.

Ocena ryzyka

Atakujący może stworzyć specjalnie spreparowane archiwum tar, które zostanie błędnie zinterpretowane przez moduł tarfile, co może prowadzić do nieoczekiwanego zachowania aplikacji, np. nadpisania plików lub pominięcia kontroli bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Pythona do wersji, w której naprawiono tę podatność (CVE-2025-13462). Jeśli aktualizacja nie jest możliwa, należy unikać przetwarzania archiwów tar z nieznanych źródeł.

Oryginalny opis (angielski, źródło NVD)

The "tarfile" module would still apply normalization of AREGTYPE (\x00) blocks to DIRTYPE, even while processing a multi-block member such as GNUTYPE_LONGNAME or GNUTYPE_LONGLINK. This could result in a crafted tar archive being misinterpreted by the tarfile module compared to other implementations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS