CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-1703

Low
Published: Translated: NVD NIST

Summary

Podczas instalacji i ekstrakcji złośliwie skonstruowanego archiwum wheel przez pip, pliki mogą być wydobywane poza katalog instalacyjny. Przechodzenie po ścieżkach jest ograniczone do prefiksów katalogu instalacyjnego, co uniemożliwia wtypowanie lub nadpisanie plików wykonywalnych w typowych sytuacjach.

Risk Assessment

Ryzyko dla organizacji polega na możliwości nieautoryzowanego dostępu do plików w systemie, co może prowadzić do naruszenia integralności danych. Choć nie ma możliwości nadpisania plików wykonywalnych, to jednak może to prowadzić do niepożądanych skutków w działaniu aplikacji.

Recommendation

Zaleca się monitorowanie i weryfikację archiwów wheel przed ich instalacją oraz stosowanie najnowszych wersji pip, które mogą zawierać poprawki bezpieczeństwa.

Original NVD description (English source)

When pip is installing and extracting a maliciously crafted wheel archive, files may be extracted outside the installation directory. The path traversal is limited to prefixes of the installation directory, thus isn't able to inject or overwrite executable files in typical situations.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS