Pesquisadores em cibersegurança identificaram uma vulnerabilidade de alta severidade na biblioteca async-tar, utilizada em diversos projetos populares, como testcontainers e wasmCloud. A falha, classificada como CVE-2025-62518 e com um escore CVSS de 8.1, pode permitir a execução remota de código (RCE) através de ataques de sobrescrita de arquivos. O problema é agravado pelo fato de que a biblioteca tokio-tar, que depende do async-tar, não recebe atualizações desde julho de 2023, tornando-a essencialmente abandonada. Para mitigar os riscos, os usuários são aconselhados a migrar para a versão 0.5.6 da biblioteca astral-tokio-tar, que corrige a vulnerabilidade. A falha decorre de uma inconsistência no tratamento de cabeçalhos PAX e ustar, permitindo que atacantes ’escondam’ arquivos maliciosos dentro de arquivos TAR legítimos. Essa vulnerabilidade é um lembrete de que, apesar das garantias de segurança do Rust, falhas lógicas ainda podem ocorrer e devem ser monitoradas de perto pelos desenvolvedores.
Fonte: https://thehackernews.com/2025/10/tarmageddon-flaw-in-async-tar-rust.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
22/10/2025 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade crítica na biblioteca Rust async-tar pode permitir execução remota de código
RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-62518 na biblioteca async-tar pode permitir a execução remota de código, afetando projetos populares como testcontainers e wasmCloud. A falta de atualizações na biblioteca tokio-tar aumenta o risco, exigindo que os CISOs tomem medidas imediatas para mitigar a exposição.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados à recuperação de sistemas e mitigação de danos.
Operacional
Possibilidade de execução remota de código e comprometimento de sistemas.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
CVSS score: 8.1
Indicador
Última atualização do tokio-tar: 15 de julho de 2023
Contexto BR
Versão 0.5.6 da astral-tokio-tar lançada para remediar a falha
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a biblioteca tokio-tar está em uso e suas versões.
2
Migrar para a versão 0.5.6 da astral-tokio-tar.
3
Monitorar atividades suspeitas em sistemas que utilizam as bibliotecas afetadas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de exploração de uma vulnerabilidade crítica em bibliotecas amplamente utilizadas, que pode resultar em comprometimento de sistemas.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD em caso de exploração da vulnerabilidade.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
