Möglich ist dies durch die beiden Funktionen tarfile.extract() und tarfile.extractall() bei den fehlende Sicherheitsmechanismen.
Das Tar-Datei-Modul ermöglicht es Entwicklern, Tar-Dateien zu lesen und zu verpacken. Dies ist eine UNIX-basierte Funktion zur Erstellung von Backups oder Software Verteilungen.
Der Sicherheitsforscher Kasimir Schulz sagt zu der Schwachstelle: „Diese Schwachstelle ist unglaublich einfach auszunutzen und erfordert wenig bis gar kein Wissen über komplizierte Sicherheitsthemen. Aufgrund dieser Tatsache und der Verbreitung der Schwachstelle in freier Wildbahn ist das Tarfile-Modul von Python zu einem massiven Problem in der Lieferkette geworden, das die Infrastruktur auf der ganzen Welt bedroht.“
Quelle:
https://nvd.nist.gov/vuln/detail/CVE-2007-4559
https://www.trellix.com/en-us/about/newsroom/stories/research/tarfile-exploiting-the-world.html