JP0417C¶

Вызов tarfile без проверки содержимого¶

Особенности: в новых версиях библиотеки (начиная с 3.12) добавлено использование стандартных фильтров через параметр filter.

Использование функции tarfile.extractall без валидации содержимого с указанием проверяющей функции.

Пример небезопасного использования¶

1
2
3
4
5

import tarfile

tarfile.extractalll(members=function(tarfile))  # members filtered via functions - severity and confidence LOW
tarfile.extractalll(members=?)  # members filtered without function - severity and confidence MEDIUM
tarfile.extractall()    # all members from the archive are trusted - severity and confidence HIGH

Дополнительная информация¶

• https://cwe.mitre.org/data/definitions/22.html
• https://docs.python.org/3/library/tarfile.html#tarfile.TarFile.extractall