CVE-2025-8194

چکیده

یک آسیب‌پذیری با شدت بالا در ماژول tarfile کتابخانه CPython شناسایی شده است. این آسیب پذیری امکان ایجاد حلقه بی‌نهایت (Infinite Loop) هنگام پردازش آرشیوهای tar با افست منفی را فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-8194 در ماژول tarfile کتابخانه CPython  در نسخه‌های پیش از 3.14.0، بر عملکرد APIهای مربوط به استخراج و شمارش ورودی‌های TarFile تأثیر می‌گذارد. این آسیب پذیری به دلیل پردازش نادرست آرشیوهای tar با افست‌های منفی رخ می دهد و می تواند منجر به حلقه بی‌نهایت و بن بست (deadlock) هنگام پردازش آرشیوهای مخرب ‌شود که این موضوع در دسترس پذیری سیستم را مختل می‌کند. بهره‌برداری از این آسیب پذیری نیازی به دسترسی یا تعامل کاربر ندارد و از راه دور قابل انجام است. این آسیب‌پذیری در نسخه 3.14.0 با اعتبارسنجی و جلوگیری از افست‌های منفی رفع شده است. همچنین، یک کد پایتون برای پچ موقت منتشر شده است که با اصلاح متد _blockدر TarInfo مانع از این آسیب‌پذیری می‌شود.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

کاربران باید CPython را به نسخه 3.14.0 به روزرسانی کرده یا پچ موقت را اعمال کنند. همچنین توصیه می شود از پردازش آرشیوهای tar در منابع غیرمعتبر خودداری کنند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-8194
2. https://www.cvedetails.com/cve/CVE-2025-8194/
3. https://mail.python.org/archives/list/security-announce@python.org/thread/ZULLF3IZ726XP5EY7XJ7YIN3K5MDYR2D/
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8194
5. https://vuldb.com/?id.317961
6. https://github.com/python/cpython/issues/130577
7. https://github.com/python/cpython/pull/137027
8. https://github.com/python/cpython/commit/7040aa54f14676938970e10c5f74ea93cd56aa38
9. https://github.com/python/cpython/commit/cdae923ffe187d6ef916c0f665a31249619193fe
10. https://nvd.nist.gov/vuln/detail/CVE-2025-8194
11. https://cwe.mitre.org/data/definitions/835.html