简介 

    高危Rust库漏洞TARmageddon（CVE-2025-62518）可导致远程代码执行，对使用Rust编程语言开发项目的开发者构成严重供应链攻击风险，需立即采取修复措施以确保项目安全。

核心详情 

    该漏洞源于Rust库在处理TAR文件时的路径遍历缺陷，攻击者可构造恶意压缩包，在解压过程中覆盖系统关键文件或执行任意代码，从而完全控制受影响系统。技术原理涉及未充分验证文件路径，允许"../"序列逃逸目标目录，结合Rust内存安全特性被绕过，导致权限提升。信息来源基于公开CVE数据库和社区安全公告，已确认影响多个流行Rust项目，攻击复杂度低且无需用户交互，CVSS评分可能超过8.0，凸显修复紧迫性。此漏洞暴露了供应链依赖的潜在弱点，即使间接使用受影响库也可能被利用，需全面评估依赖树。

适用范围  

    适用于所有在项目中直接或间接使用Rust TAR处理库的开发者、维护开源Rust组件的团队、以及部署Rust应用程序的生产环境运维人员，特别是在处理用户上传文件或自动化构建流程中涉及TAR解压的场景。

推荐措施 

    1、立即升级依赖库至已修复漏洞的安全版本，检查Cargo.toml中相关库版本并运行cargo update；2、在CI/CD流程中集成软件组成分析工具扫描第三方依赖，定期审计代码库中的文件操作逻辑，避免在生产环境直接处理未经验证的压缩文件。