CVE-2026-8643
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu pip polega na traktowaniu wpisów console_scripts i gui_scripts jako ścieżek zamiast nazw plików, bez odpowiedniego oczyszczenia rozpoznanej ścieżki bezwzględnej do katalogu instalacyjnego. Umożliwia to instalowanie punktów wejściowych poza docelowym katalogiem instalacyjnym.
Ocena ryzyka
Ryzyko polega na możliwości umieszczenia złośliwych plików wykonywalnych w nieautoryzowanych lokalizacjach systemowych, co może prowadzić do eskalacji uprawnień lub uruchomienia niebezpiecznego kodu.
Rekomendacja
Zaleca się natychmiastową aktualizację narzędzia pip do najnowszej wersji łatającej tę podatność oraz weryfikację, czy żadne nieautoryzowane punkty wejściowe nie zostały zainstalowane poza standardowymi katalogami.
Oryginalny opis (angielski, źródło NVD)
pip would treat console_scripts and gui_scripts as paths instead of file names without sanitizing the resolved absolute path to the installation directory, leading to entry points being installed outside the installation directory.

