Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15219

Опубликовано: 21 окт. 2025
Источник: fstec
CVSS3: 8.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость библиотеки для чтения/записи tar-архивов astral-tokio-tar связана с ошибками преобразования типов данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

astral-tokio-tar

Версия ПО

до 0.5.6 (astral-tokio-tar)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомедаций:
https://github.com/astral-sh/tokio-tar/security/advisories/GHSA-j5gw-2vrg-8fgx

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.00021
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-62518

CVSS3: 8.1
ubuntu
4 месяца назад

astral-tokio-tar is a tar archive reading/writing library for async Rust. Versions of astral-tokio-tar prior to 0.5.6 contain a boundary parsing vulnerability that allows attackers to smuggle additional archive entries by exploiting inconsistent PAX/ustar header handling. When processing archives with PAX-extended headers containing size overrides, the parser incorrectly advances stream position based on ustar header size (often zero) instead of the PAX-specified size, causing it to interpret file content as legitimate tar headers. This issue has been patched in version 0.5.6. There are no workarounds.

nvd логотип

CVE-2025-62518

CVSS3: 8.1
nvd
4 месяца назад

astral-tokio-tar is a tar archive reading/writing library for async Rust. Versions of astral-tokio-tar prior to 0.5.6 contain a boundary parsing vulnerability that allows attackers to smuggle additional archive entries by exploiting inconsistent PAX/ustar header handling. When processing archives with PAX-extended headers containing size overrides, the parser incorrectly advances stream position based on ustar header size (often zero) instead of the PAX-specified size, causing it to interpret file content as legitimate tar headers. This issue has been patched in version 0.5.6. There are no workarounds.

msrc логотип

CVE-2025-62518

msrc
3 месяца назад

astral-tokio-tar Vulnerable to PAX Header Desynchronization

debian логотип

CVE-2025-62518

CVSS3: 8.1
debian
4 месяца назад

astral-tokio-tar is a tar archive reading/writing library for async Ru ...

github логотип

GHSA-j5gw-2vrg-8fgx

CVSS3: 8.1
github
4 месяца назад

astral-tokio-tar Vulnerable to PAX Header Desynchronization

EPSS

Процентиль: 5%
0.00021
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2