Katalog CVE

CVE-2026-1703

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podczas instalacji i ekstrakcji złośliwie skonstruowanego archiwum wheel przez pip, pliki mogą być wydobywane poza katalog instalacyjny. Przechodzenie po ścieżkach jest ograniczone do prefiksów katalogu instalacyjnego, co uniemożliwia wtypowanie lub nadpisanie plików wykonywalnych w typowych sytuacjach.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości nieautoryzowanego dostępu do plików w systemie, co może prowadzić do naruszenia integralności danych. Choć nie ma możliwości nadpisania plików wykonywalnych, to jednak może to prowadzić do niepożądanych skutków w działaniu aplikacji.

Rekomendacja

Zaleca się monitorowanie i weryfikację archiwów wheel przed ich instalacją oraz stosowanie najnowszych wersji pip, które mogą zawierać poprawki bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

When pip is installing and extracting a maliciously crafted wheel archive, files may be extracted outside the installation directory. The path traversal is limited to prefixes of the installation directory, thus isn't able to inject or overwrite executable files in typical situations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS