Vulnerabilidad en mholt/archiver de Go (CVE-2025-3445)

Se ha identificado una vulnerabilidad de Path Traversal "Zip Slip" en mholt/archiver de Go. Esta vulnerabilidad permite usar un archivo ZIP manipulado que contiene enlaces simbólicos de ruta para manipular o sobrescribir archivos con los privilegios del usuario o la aplicación que utiliza la librería. Al usar la función `archiver.Unarchive` con archivos ZIP, como `archiver.Unarchive(zipFile, outputDir`), se puede extraer un archivo ZIP manipulado de forma que escriba archivos en el sistema afectado con los mismos privilegios que la aplicación que ejecuta esta función vulnerable. En consecuencia, se pueden sobrescribir archivos confidenciales, lo que podría provocar escalada de privilegios, ejecución de código y otras consecuencias graves en algunos casos. Cabe destacar que se encontró una vulnerabilidad similar en archivos TAR (CVE-2024-0406). Aunque se implementó una solución, no se ha publicado oficialmente y el proyecto afectado ha quedado obsoleto. El sucesor de mholt/archiver es un nuevo proyecto llamado mholt/archives, y su versión inicial (v0.1.0) elimina la funcionalidad Unarchive().