Se ha descubierto una vulnerabilidad de severidad alta en la librería Rust async-tar y sus derivados. Un actor malicioso podría ejecutar código arbitrario remotamente y sobrescribir archivos críticos en sistemas afectados.
Productos afectados
- async-tar: todas las versiones
- tokio-tar: todas las versiones
- astral-tokio-tar: versiones anteriores a la 0.5.6
- krata-tokio-tar: versiones sin parche aplicado
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-62518: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de análisis inconsistente de encabezados PAX/ustar en archivos TAR anidados. Un actor malicioso podría introducir entradas de archivo adicionales ocultas mediante la explotación de una desincronización en el motor de análisis, lo que podría permitir la sobrescritura de archivos de configuración, el secuestro de backends de compilación en gestores de paquetes o la contaminación de imágenes de contenedores.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. En caso de las versiones no mantenidas, migrar a alguna con soporte.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-62518
- https://edera.dev/stories/tarmageddon