简介 

    CVE-2025-62518是Rust异步TAR库中的一个高危漏洞，被命名为TARmageddon。该漏洞在处理嵌套压缩包时，攻击者可植入恶意档案文件，导致远程代码执行风险。Edera安全团队披露了这一漏洞，指出其可能被用于供应链攻击，威胁使用该库的应用程序安全。

核心详情 

    该漏洞源于Rust异步TAR库在解析嵌套TAR压缩包时的逻辑缺陷，攻击者通过构造恶意嵌套档案，可绕过安全检查并植入恶意代码。当应用程序解压此类档案时，可能触发任意代码执行，影响系统完整性。Edera安全团队在研究中发现，漏洞涉及库的异步处理机制，在解压深层嵌套结构时未充分验证文件路径和内容，导致目录遍历或代码注入。此问题主要影响依赖该库进行TAR文件处理的Rust项目，尤其在自动化构建或包管理场景中风险较高。技术原理包括解压过程中对符号链接和文件权限的误处理，可能被利用来覆盖关键系统文件或执行未授权操作。

适用范围  

    适用于使用Rust异步TAR库的开发者、系统管理员，以及涉及软件供应链安全管理的团队。具体场景包括处理用户上传的TAR文件、自动化构建管道中的依赖解压、或任何需要解析嵌套压缩包的应用程序环境。

推荐措施 

    1、立即升级Rust异步TAR库到已修复漏洞的版本，检查项目依赖并更新Cargo.toml文件；2、在代码中增加对嵌套压缩包层数的限制，并对解压路径进行严格验证，避免目录遍历攻击。延伸建议包括定期审计第三方库安全状况，参考CVE官方公告获取详细补丁信息，并在生产环境中实施文件上传扫描机制。