关键漏洞信息 漏洞概述 漏洞名称: PAX Header Desynchronization in astral-tokio-tar CVE ID: CVE-2025-62518 CVSS v3 基本评分: 8.1/10 严重性: 高 影响版本和修复版本 受影响版本: <= 0.5.5 已修复版本: 0.5.6 漏洞描述 问题: astral-tokio-tar 在处理包含 PAX 扩展头的 tar 文件时存在边界解析漏洞。当处理具有不一致 PAX/ustar 头处理的档案时,解析器会错误地基于 ustar 头大小(通常是零)而不是 PAX 指定的大小来推进流位置,导致将文件内容解释为合法的 tar 头。 根本原因: PAX 头正确指定文件大小,而 ustar 头未正确指定零大小,导致 tokio-tar 根据 ustar 大小(0 字节)推进流位置。 攻击机制 条件: 当 tar 文件包含外部条目带有 PAX 但 ustar ,且文件数据以有效的 tar 头结构开始时,解析器将内部内容解释为额外的外部条目,导致头部/数据不同步。 解决方案 建议升级到版本: 0.5.6 或更高版本 时间线 发现日期: 2025年8月21日 初始分析和 PoC 确认: 2025年8月21日 维护者通知: 2025年8月22日 私有补丁和测试套件共享: 2025年8月25日 文本冻结: 2025年10月7日 协调公开披露和修补发布: 2025年10月21日 参考资料 Edera 博客文章 技术复现仓库