CVE-2025-62518 sacude la comunidad Rust: una vulnerabilidad en parsers TAR permite a los atacantes colarse archivos extra sin detectar, abriendo la puerta a ejecución remota de código y potenciales ataques en cadena de suministro.

Gráfico conceptual sobre vulnerabilidad de parsers TAR en Rust
TARmageddon ha puesto en alerta al ecosistema Rust. Esta vulnerabilidad de alta severidad afecta a librerías ampliamente utilizadas para el manejo de archivos TAR, como Async-tar y forks como Tokio-tar. La vulnerabilidad fue reportada por Edera, tras descubrir cómo la gestión incorrecta de cabeceras en archivos TAR anidados permite a un atacante manipular el contenido de la extracción y comprometer sistemas.

CVE-2025-62518, apodada TARmageddon, radica en un problema de desincronización en parsers TAR escritos en Rust. Cuando un archivo contiene cabeceras PAX y ustar con tamaños incoherentes—específicamente si la cabecera ustar indica tamaño cero—el parser no avanza correctamente el punto de lectura sobre los datos. Así, datos de un archivo incrustado (un segundo archivo TAR) se interpretan mal como parte del nivel superior, permitiendo a un atacante «esconder» archivos o ejecutar código subrepticiamente.

El fallo puede usarse para ejecución remota de código (RCE) y sobrescritura de archivos, afectando especialmente a proyectos que desempaquetan archivos TAR sin validación adicional. El riesgo se agrava porque las bibliotecas afectadas (Async-tar, Tokio-tar) tienen millones de descargas y dependen de ellas numerosos proyectos, incluso algunos mantenidos por terceros. Su explotación puede formar parte de ataques a la cadena de suministro, dejando miles de aplicaciones expuestas a manipulaciones y persistencia del atacante.

Se recomienda encarecidamente cambiar a forks corregidos como Astral-tokio-tar 0.5.6 o Krata-tokio-tar. Si esto no es posible, modifique los parsers para que prioricen cabeceras PAX al determinar tamaños y validen la consistencia de las cabeceras. Además, implemente verificaciones de límites estrictos para impedir la confusión entre cabeceras y prevenir la inyección de archivos no autorizados.

TARmageddon reitera que el uso de lenguajes modernos como Rust no garantiza infalibilidad. La falta de mantenimiento en librerías esenciales puede exponer a toda la cadena de dependencias a riesgos críticos. Adoptar librerías mantenidas y reforzar validaciones en la manipulación de archivos TAR son acciones imprescindibles.

Más información