کشف آسیب‌پذیری پیمایش مسیر در کتابخانه‌ی Node.js

به گزارش کارگروه امنیت سایبربان ؛ کتابخانه‌ی Tar-fs در Node.js همراه با Tar-stream، امکان خواندن و نوشتن فایل‌های Tar را از طریق سیستم فایل فراهم می‌کند.
اخیراً آسیب‌پذیری امنیتی با شناسه‌ی CVE-2025-48387 و شدت 8.7، از نوع پیمایش مسیر در این کتابخانه شناسایی شده است که به مهاجم اجازه می‌دهد فایل‌هایی را خارج از مسیر مجاز از حالت فشرده خارج کند.

جزئیات آسیب‌پذیری

این آسیب‌پذیری زمانی رخ می‌دهد که تابع extract در tar-fs، فایل‌های درون آرشیو tar را بدون بررسی کافی مسیر، در سیستم‌فایل استخراج می‌کند.
در صورتی که فایل tar شامل فایل‌هایی با مسیرهای نسبی مانند ../../etc/passwd باشد، این فایل‌ها می‌توانند خارج از مسیر مقصد استخراج شوند.

مهاجم برای بهره‌برداری از این آسیب‌پذیری کافی است بدون نیاز به احراز هویت، یک فایل tar مخرب طراحی نموده و برای استخراج به تابع آسیب‌پذیر ارائه دهد. کد آسیب‌پذیر، بدون بررسی دقیق مسیر فایل‌ها، اقدام به استخراج آن‌ها در مسیرهای حساس سیستم می‌نماید.

این موضوع امکان جایگزینی یا تزریق فایل‌هایی مانند ~/.ssh/authorized_keys، فایل‌های پیکربندی نظیر config.json یا سایر فایل‌های حیاتی را فراهم می‌کند.
در مواردی که این آسیب‌پذیری با سایر ضعف‌های امنیتی ترکیب شود، ممکن است منجر به اجرای کد از راه دور نیز گردد.

بردار CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H نشان می‌دهد بهره‌برداری از این آسیب‌پذیری به مهاجم امکان حمله از راه دور را بدون نیاز به دسترسی یا تعامل با کاربر فراهم می‌کند. پیچیدگی این حمله پایین است و تأثیر قابل‌توجهی بر محرمانگی سیستم دارد، اگرچه بر صحت داده‌ها و دسترس‌پذیری تأثیر کمتری می‌گذارد.

نسخه‌های تحت تأثیر

• نسخه‌های قبل از 3.0.9، 2.1.3 و 1.16.5 تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی

• ارتقاء کتابخانه‌ی tar-fs به نسخه‌ی ایمن 3.0.9 و بالاتر

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-48387

[2]https://www.cvedetails.com/cve/CVE-2025-48387

[3]https://www.cve.org/CVERecord?id=CVE-2025-48387

[4]https://github.com/mafintosh/tar-fs/security/advisories/GHSA-8cj5-5rvv-wf4v

[5]https://github.com/mafintosh/tar-fs/commit/647447b572bc135c41035e82ca7b894f02b17f0f