GHSA-vj76-c3g6-qr5v

Опубликовано: 24 сент. 2025

Источник: github

Github: Прошло ревью

CVSS4: 8.7

Описание

tar-fs has a symlink validation bypass if destination directory is predictable with a specific tarball

Impact

v3.1.0, v2.1.3, v1.16.5 and below

Patches

Has been patched in 3.1.1, 2.1.4, and 1.16.6

Workarounds

You can use the ignore option to ignore non files/directories.

ignore (_, header) { // pass files & directories, ignore e.g. symlinks return header.type !== 'file' && header.type !== 'directory' }

Credit

Reported by: Mapta / BugBunny_ai

Ссылки

Пакеты

Наименование

tar-fs

npm

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.1

3.1.1

Наименование

tar-fs

npm

Затронутые версииВерсия исправления

>= 2.0.0, < 2.1.4

2.1.4

Наименование

tar-fs

npm

Затронутые версииВерсия исправления

< 1.16.6

1.16.6

EPSS

Процентиль: 7%

0.00028

Низкий

8.7 High

CVSS4

CVE ID

CVE-2025-59343

Дефекты

CWE-22

CWE-61

Связанные уязвимости

CVE-2025-59343

ubuntu

5 месяцев назад

tar-fs provides filesystem bindings for tar-stream. Versions prior to 3.1.1, 2.1.3, and 1.16.5 are vulnerable to symlink validation bypass if the destination directory is predictable with a specific tarball. This issue has been patched in version 3.1.1, 2.1.4, and 1.16.6. A workaround involves using the ignore option on non files/directories.