在Python环境里,专门用来读取、建立、打包,以及解压缩tar档案的程式库tarfile,一旦出现弱点,就有可能让攻击者用于路径穿越、任意档案写入(及覆盖)、远端执行任意程式码(RCE)、权限提升、逃逸沙箱,甚至还有可能污染套件,引发供应链攻击,因此该程式库相关的弱点,往往都必须提高警觉。
6月3日Python软体基金会发布资安公告,指出他们针对tarfile模组最严重的资安漏洞是