Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01714

Опубликовано: 30 окт. 2025
Источник: fstec
CVSS3: 7
CVSS2: 5
EPSS Низкий

Описание

Уязвимость библиотеки node-tar программной платформы Node.js связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию

Вендор

Node.js Foundation

Наименование ПО

Node.js
node-tar

Версия ПО

24.13.0 (Node.js)
25.3.0 (Node.js)
до 7.5.2 (node-tar)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7)
Средний уровень опасности (оценка CVSS 4.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/isaacs/node-tar/commit/5330eb04bc43014f216e5c271b40d5c00d45224d

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00006
Низкий

7 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-64118

ubuntu
5 месяцев назад

node-tar is a Tar for Node.js. In 7.5.1, using .t (aka .list) with { sync: true } to read tar entry contents returns uninitialized memory contents if tar file was changed on disk to a smaller size while being read. This vulnerability is fixed in 7.5.2.

redhat логотип

CVE-2025-64118

CVSS3: 4.7
redhat
5 месяцев назад

node-tar is a Tar for Node.js. In 7.5.1, using .t (aka .list) with { sync: true } to read tar entry contents returns uninitialized memory contents if tar file was changed on disk to a smaller size while being read. This vulnerability is fixed in 7.5.2.

nvd логотип

CVE-2025-64118

nvd
5 месяцев назад

node-tar is a Tar for Node.js. In 7.5.1, using .t (aka .list) with { sync: true } to read tar entry contents returns uninitialized memory contents if tar file was changed on disk to a smaller size while being read. This vulnerability is fixed in 7.5.2.

debian логотип

CVE-2025-64118

debian
5 месяцев назад

node-tar is a Tar for Node.js. In 7.5.1, using .t (aka .list) with { s ...

github логотип

GHSA-29xp-372q-xqph

github
5 месяцев назад

node-tar has a race condition leading to uninitialized memory exposure

EPSS

Процентиль: 0%
0.00006
Низкий

7 High

CVSS3

5 Medium

CVSS2