Rust库曝高危漏洞(CVE-2025-62518)可导致远程代码执行
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
Rust编程语言中的_async-tar_库存在严重漏洞TARmageddon(CVE-2025-62518),可能导致远程代码执行。该漏洞影响多个广泛使用的项目,建议开发者及时修补或迁移到安全版本。Edera警告,未修复的库可能被攻击者利用,开发者需保持警惕。
🎯
关键要点
- Rust编程语言中的_async-tar_库存在严重漏洞TARmageddon(CVE-2025-62518),可能导致远程代码执行。
- 该漏洞影响多个广泛使用的项目,包括_tokio-tar_,严重性评分为8.1(高危)。
- 建议开发者及时修补或迁移到安全版本,如_astral-tokio-tar_ 0.5.6或更高版本。
- 漏洞可能导致文件覆盖攻击和供应链攻击,攻击者可在主机系统上执行任意代码。
- 该漏洞源于解析器在确定文件数据边界时的不一致逻辑,尤其在处理嵌套TAR文件时出现问题。
- Edera建议审计代码、监控潜在利用,并确保修补所有依赖于_tokio-tar_的项目。
- Rust语言并非万灵药,开发者需对所有类型的漏洞保持警惕,尤其是未维护的开源库。
➡️
