CVE-2025-4517

Nome do Software Vulnerável e Versões Afetadas Versões do Python 3.12 e posteriores

Descrição O problema permite gravações arbitrárias no sistema de arquivos fora do diretório de extração durante a extração com filter="data" ao usar o módulo tarfile para extrair arquivos tar não confiáveis. Isso afeta usuários das versões 3.12 ou posteriores do Python, pois versões anteriores não incluem o recurso de filtro de extração. Para o Python 3.14 ou posterior, o valor padrão do filter foi alterado para "data", portanto, usuários que dependem desse novo comportamento padrão também são afetados.

Recomendações Para as versões 3.12 e posteriores do Python, atualize para uma versão em que o problema foi corrigido, pois a alteração do comportamento padrão no Python 3.14 ou posterior pode afetar o uso. Como solução temporária, considere evitar o uso do parâmetro filter com o valor "data" ou "tar" em TarFile.extractall() ou TarFile.extract() até que uma correção esteja disponível. Restrinja o acesso a arquivos tar não confiáveis para minimizar o risco de exploração.