Katalog CVE

CVE-2026-44971

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

GuardDog to narzędzie CLI do identyfikacji złośliwych pakietów PyPI. W wersjach od 1.0.0 do 2.9.0, ścieżka skanowania zdalnych projektów modyfikuje kontrolowane przez atakującego adresy URL repozytoriów, co pozwala na wysłanie poświadczeń GitHub użytkownika w wyniku tego żądania.

Ocena ryzyka

Atakujący, który może wpłynąć na skanowany adres URL repozytorium, może wywołać SSRF i przechwycić GH_TOKEN używany przez GuardDog, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.

Rekomendacja

Zaleca się aktualizację GuardDog do najnowszej wersji, aby usunąć tę podatność oraz przegląd zabezpieczeń używanych poświadczeń GitHub.

Oryginalny opis (angielski, źródło NVD)

GuardDog is a CLI tool to identify malicious PyPI packages. From 1.0.0 to 2.9.0, the programmatic remote project scanning path rewrites attacker-controlled repository URLs using a blind string replacement and then sends the caller's GitHub credentials with the resulting request. This allows an attacker who can influence the scanned repository URL to trigger SSRF and capture the GH_TOKEN used by GuardDog. This vulnerability is fixed in .

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS