Kritische Sicherheitslücke in Python-Tarfile-Modul – CVE-2025-4517

Die Python Software Foundation warnt vor einer kritischen Sicherheitslücke (CVE-2025-4517) im beliebten tarfile-Modul. Bei der Nutzung von TarFile.extractall() oder TarFile.extract() mit dem Parameter filter="data" oder "tar" kann es zu Pfadmanipulationen (Path Traversal) kommen. Dadurch lassen sich Dateien außerhalb des Zielverzeichnisses schreiben – ein erhebliches Risiko beim Umgang mit nicht vertrauenswürdigen Tar-Archiven.

Besonders brisant: Ab Python 3.14 ist "data" der Standardwert für filter=, was das Risiko bei unüberwachter Nutzung erhöht. Die CVSS-Bewertung liegt bei 9.4 (kritisch).

Entwickler:innen sollten sicherstellen, dass Archive nur mit geeigneten Filtern und vertrauenswürdigen Quellen extrahiert werden. Weitere technische Details und Patches sind bereits im offiziellen Python-Repository verfügbar.

Mehr Informationen:

Related Posts

GodFather-Malware stiehlt Banking Logins auf 500 Android Banking Apps

Zimperium zLabs hat eine hochentwickelte Version der berüchtigten GodFather-Malware entdeckt, die mit einer neuartigen Virtualisierungstechnik Android-Geräte kompromittiert.

Read More

Kritische Sicherheitslücken in NetScaler ADC und NetScaler Gateway: CVE-2025-5349 & CVE-2025-5777

Am 17. Juni 2025 veröffentlichte die Cloud Software Group ein Security Bulletin (CTX693420) zu zwei neu entdeckten, kritischen Schwachstellen in NetScaler ADC und NetScaler Gateway (vormals Citrix ADC / Citrix Gateway). Die betroffenen Komponenten werden in zahlreichen Unternehmensinfrastrukturen zur sicheren Anwendungsbereitstellung und VPN-Zugängen eingesetzt – umso alarmierender ist der potenzielle Angriffsvektor dieser Schwachstellen.

Read More

Verkettete Root-Eskalation in Linux: Von PAM-Konfigurationsfehler zu Root über libblockdev/udisks

Am 17. Juni 2025 veröffentlichte das Qualys Threat Research Unit (TRU) eine Schwachstellenanalyse zu zwei eng miteinander verknüpften lokalen Privilegieneskalationen (LPEs) in openSUSE Leap 15 und SUSE Linux Enterprise 15. Diese Lücken – CVE-2025-6018 und CVE-2025-6019 – ermöglichen einem einfachen Nutzer über legitime Dienste wie PAM und udisks den vollständigen Root-Zugriff auf betroffene Systeme. Die Entdeckungen betreffen nicht nur SUSE, sondern haben potenziell weitreichende Konsequenzen für alle großen Linux-Distributionen.

Read More