CSIRT Toscana Vulnerabilità nel modulo Python CPython tarfile (AL03/250605/CSIRT-ITA)
Data:
5 Giugno 2025 10:40
Impatto Sistemico
Alto (65.89)
Sintesi
Rilevate nuove vulnerabilità, di cui una con gravità “critica” e tre con gravità “alta”, nel modulo Python CPython tarfile.
Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato, per mezzo di un pacchetto tar opportunamente predisposto, di ottenere accesso in scrittura all’esterno della directory di estrazione.
Tipologia
- Arbitrary File Write
- Data Manipulation
Prodotti e versioni affette
Python CPython module
- Versioni precedenti alla 3.9.23
- Versione 3.10.x, versioni precedenti alla 3.10.18
- Versione 3.11.x, versioni precedenti alla 3.11.13
- Versione 3.12.x, versioni precedenti alla 3.12.11
- Versione 3.13.x, versioni precedenti alla 3.13.14
- Versione 3.14.0x, versioni precedenti alla 3.14.0
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili o applicare le procedure di mitigazione indicate nel bollettino di sicurezza riportato nella sezione Riferimenti:
Riferimenti
CVE
| CVE-ID | |||
|---|---|---|---|
| CVE-2025-4138 | CVE-2025-4330 | CVE-2025-4435 | CVE-2025-4517 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 05-06-2025 | 05/06/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link