Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Python (CVE-2024-12718)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
03/06/2025
Última modificación:
24/07/2025

Descripción

Permite modificar algunos metadatos de archivo (p. ej., la última modificación) con filter="data" o permisos de archivo (chmod) con filter="tar" de archivos fuera del directorio de extracción. Esta vulnerabilidad afecta al usar el módulo tarfile para extraer archivos tar no confiables mediante TarFile.extractall() o TarFile.extract() y el parámetro filter= con el valor "data" o "tar". Consulte la documentación sobre filtros de extracción de archivos tar (https://docs.python.org/3/library/tarfile.html#tarfile-extraction-filter) para obtener más información. Estas vulnerabilidades solo afectan a las versiones de Python 3.12 o posteriores; las versiones anteriores no incluyen la función de filtro de extracción. Tenga en cuenta que para Python 3.14 o posteriores, el valor predeterminado de filter= cambió de "sin filtrado" a "data", por lo que si utiliza este nuevo comportamiento predeterminado, su uso también se verá afectado. Tenga en cuenta que ninguna de estas vulnerabilidades afecta significativamente la instalación de distribuciones fuente que son archivos tar, ya que estas permiten la ejecución de código arbitrario durante el proceso de compilación. Sin embargo, al evaluar distribuciones fuente, es importante evitar instalar distribuciones fuente con enlaces sospechosos.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información