Vulnerabilidad en módulo de Python

11/06/2025 Noticias 0

Se han encontrado varias vulnerabilidades en el archivo tar del módulo CPython. Estas podrían ser explotadas para permitir la escritura de archivos arbitraria y la manipulación de datos.  

Productos afectados

Módulo CPython de Python

  • Versiones anteriores a la 3.9.23
  • Versión 3.10.x, versiones anteriores a 3.10.18
  • Versión 3.11.x, versiones anteriores a 3.11.13
  • Versión 3.12.x, versiones anteriores a 3.12.11
  • Versión 3.13.x, versiones anteriores a 3.13.14
  • Versión 3.14.0x, versiones anteriores a 3.14.0

Impacto

Las vulnerabilidades de mayor severidad se hanidentificado como:

CVE-2025-4517: con una puntuación de 9.4 en CVSS v3.1. Esta vulnerabilidad afecta al usar el módulo tarfile para extraer archivos tar no confiables y podría permitir escrituras arbitrarias en el sistema de archivos fuera del directorio de extracción durante la extracción.

CVE-2025-4330: con una puntuación de 7.5 en CVSS v3.1. Esta vulnerabilidad afecta al usar el módulo tarfile para extraer archivos tar no confiables y podría permitir ignorar el filtro de extracción, lo que habilita que los enlaces simbólicos apunten fuera del directorio de destino y la modificación de algunos metadatos de archivo.

CVE-2025-4138: con una puntuación de 7.5 en CVSS v3.1. Esta vulnerabilidad afecta al usar el módulo tarfile para extraer archivos tar no confiables y podría permitir ignorar el filtro de extracción, lo que habilita que los enlaces simbólicos apunten fuera del directorio de destino y la modificación de algunos metadatos de archivo.

CVE-2025-4435: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad donde el comportamiento documentado no coincide con el obtenido de TarFile.errorlevel = 0. En las versiones afectadas, el miembro se extrae y no se omite, comportamiento inverso al descrito en su documentación.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2025-4435

https://www.cve.org/CVERecord?id=CVE-2025-4517

https://www.cve.org/CVERecord?id=CVE-2025-4138

https://www.cve.org/CVERecord?id=CVE-2025-4330

Compartir: