CVE-2026-1703
LowSummary
Podczas instalacji i ekstrakcji złośliwie skonstruowanego archiwum wheel przez pip, pliki mogą być wydobywane poza katalog instalacyjny. Przechodzenie po ścieżkach jest ograniczone do prefiksów katalogu instalacyjnego, co uniemożliwia wtypowanie lub nadpisanie plików wykonywalnych w typowych sytuacjach.
Risk Assessment
Ryzyko dla organizacji polega na możliwości nieautoryzowanego dostępu do plików w systemie, co może prowadzić do naruszenia integralności danych. Choć nie ma możliwości nadpisania plików wykonywalnych, to jednak może to prowadzić do niepożądanych skutków w działaniu aplikacji.
Recommendation
Zaleca się monitorowanie i weryfikację archiwów wheel przed ich instalacją oraz stosowanie najnowszych wersji pip, które mogą zawierać poprawki bezpieczeństwa.
Original NVD description (English source)
When pip is installing and extracting a maliciously crafted wheel archive, files may be extracted outside the installation directory. The path traversal is limited to prefixes of the installation directory, thus isn't able to inject or overwrite executable files in typical situations.

