CVE-2025-4138

Nome do Software Vulnerável e Versões Afetadas Versões do Python 3.12 e posteriores

Descrição O problema permite que o filtro de extração seja ignorado, possibilitando que destinos de links simbólicos apontem para fora do diretório de destino e a modificação de alguns metadados de arquivo. Isso afeta usuários que extraem arquivos tar não confiáveis usando TarFile.extractall() ou TarFile.extract() com o parâmetro filter definido como "data" ou "tar". Para Python 3.14 e posteriores, o valor padrão do filtro foi alterado para "data", o que também afeta o uso que depende desse novo comportamento padrão. A instalação de distribuições de código-fonte, que são arquivos tar, não é significativamente afetada, pois elas já permitem a execução arbitrária de código durante o processo de build.

Recomendações Para as versões do Python 3.12 e posteriores, considere evitar o uso do parâmetro filter com os valores "data" ou "tar" ao extrair arquivos tar não confiáveis usando TarFile.extractall() ou TarFile.extract() até que uma correção esteja disponível. Como medida temporária, considere desativar o recurso de filtro de extração ao lidar com arquivos não confiáveis. Para Python 3.14 e posteriores, tenha cautela ao depender do novo comportamento padrão do filtro, pois ele pode introduzir este problema.