Уязвимость библиотеки node-tar программной платформы Node.js связана с неверным ограничением имени пути к каталогу при обработке параметра preservePaths. Эксплуатация уязвимости может позволить нарушителю обойти существующие механизмы безопасности и выполнить произвольный код при распаковке специально сформированного TAR-архива
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности распаковки архивов, полученных из недоверенных источников;
- использование средств антивирусного программного обеспечения для анализа TAR-файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с XML-файлами, полученными из недоверенных источников;
- использование SIEM-систем для отслеживания событий, связанных с распаковкой TAR-архивов.
Использование рекомендаций:
https://github.com/isaacs/node-tar/security/advisories/GHSA-8qq5-rm4j-mr97
| Балл | 7.2 — высокая опасность |