一、 漏洞 CVE-2025-62518 基础信息
漏洞信息
# Astral-Tokio-Tar PAX头不同步漏洞
## 概述
`astral-tokio-tar` 是一个用于异步 Rust 的 tar 归档读写库。在版本 0.5.6 之前存在一个边界解析漏洞,允许攻击者通过利用 PAX/ustar 头处理不一致的问题,向归档中注入额外的条目。
## 影响版本
- 所有低于 0.5.6 的版本均受影响。
## 细节
该漏洞出现在处理带有 PAX 扩展头的归档文件时。如果 PAX 头中指定了文件大小的覆盖值,解析器未能根据 PAX 指定的实际大小正确推进流的位置,而是使用了 ustar 头中的文件大小(通常为 0),导致解析器错误地将文件内容当作合法的 tar 头来解析。
## 影响
攻击者可利用该漏洞在 tar 归档中伪装额外的条目,可能造成数据被意外覆盖或执行恶意操作。此漏洞直接影响归档解析的完整性和安全性。
## 修复
该问题已在 0.5.6 版本中修复。无可用临时解决方案,建议用户尽快升级至该版本或更高。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-62518 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2025-62518: TARmageddon | https://github.com/edera-dev/cve-tarmageddon | POC详情 |
三、漏洞 CVE-2025-62518 的情报信息
-
标题: TARmageddon (CVE-2025-62518): RCE Vulnerability Highlights the Challenges of Open Source Abandonware | Edera Blog -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: GitHub - edera-dev/cve-tarmageddon: CVE-2025-62518: TARmageddon -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Differential in tar extraction with PAX headers · Advisory · astral-sh/uv · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: PAX Header Desynchronization in astral-tokio-tar · Advisory · astral-sh/tokio-tar · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Merge commit from fork · astral-sh/tokio-tar@22b3f88 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-62518
四、漏洞 CVE-2025-62518 的评论
暂无评论