Дослідники з Edera виявили критичну вразливість у бібліотеці async-tar для Rust, названу TARmageddon (CVE-2025-62518, CVSS 8.1), що може призвести до віддаленого виконання коду (RCE). Виявлена наприкінці серпня 2025 року, вона впливає на проекти, як testcontainers та wasmCloud, через помилку в обробленні заголовків PAX та ustar у TAR-архівах. Парсер неправильно інтерпретує розмір заголовків, дозволяючи зловмисникам “підмішувати” шкідливі записи через вкладені архіви, що веде до перезапису файлів. Це може скомпрометувати конфігураційні файли чи процеси складання, викликаючи RCE. Вразливість зачіпає async-tar та її форк tokio-tar, який не оновлювався з липня 2023 року, попри популярність на crates.io. Потенційна атака може включати підроблений пакет на PyPI, де шкідливий TAR перезаписує легітимні файли під час встановлення.

Вплив серйозний для додатків, що обробляють ненадійні TAR-архіви, особливо в асинхронних середовищах. Edera рекомендує перейти на astral-tokio-tar 0.5.6, яка виправляє парсинг меж. Розробникам радять аудитувати залежності та уникати обробки неперевірених архівів. Ця вразливість нагадує, що навіть безпечна пам’ять Rust не захищає від логічних помилок, підкреслюючи потребу ретельної валідації.