CVE-2025-4330

Nome do Software Vulnerável e Versões Afetadas Versões do Python 3.12 e posteriores

Descrição O problema permite que o filtro de extração seja ignorado, permitindo que destinos de links simbólicos apontem para fora do diretório de destino e a modificação de alguns metadados de arquivos. Isso afeta usuários que utilizam o módulo tarfile para extrair arquivos tar não confiáveis usando TarFile.extractall() ou TarFile.extract() com o parâmetro filter definido como "data" ou "tar". Para Python 3.14 e posteriores, o valor padrão do filtro foi alterado para "data", o que também afeta o uso que depende deste novo comportamento padrão. A instalação de distribuições de código-fonte, que são arquivos tar, não é significativamente afetada, pois elas já permitem a execução arbitrária de código durante o processo de build.

Recomendações Para versões do Python 3.12 e posteriores, considere atualizar para uma versão onde este problema seja corrigido, embora a versão específica corrigida não seja fornecida. Como solução temporária, evite usar o parâmetro filter com os valores "data" ou "tar" ao extrair arquivos tar não confiáveis com TarFile.extractall() ou TarFile.extract() até que um patch esteja disponível. Restrinja o acesso a arquivos tar não confiáveis para minimizar o risco de exploração.