CVE-2026-44972
MediumSummary
GuardDog to narzędzie CLI służące do identyfikacji złośliwych pakietów PyPI. W wersjach od 2.6.0 do 2.9.0, GuardDog zawiera kontrolowane przez atakującego nazwy plików, lokalizacje plików, komunikaty i fragmenty kodu w domyślnym czytelnym dla ludzi wyjściu, nie stosując ucieczki znaków kontrolnych terminala.
Risk Assessment
Złośliwy pakiet może wstrzykiwać sekwencje ucieczki ANSI lub OSC do terminali analityków lub logów CI, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.
Recommendation
Zaleca się aktualizację GuardDog do najnowszej wersji, aby usunąć podatność oraz wprowadzenie dodatkowych środków bezpieczeństwa w celu monitorowania i filtrowania złośliwych pakietów.
Original NVD description (English source)
GuardDog is a CLI tool to identify malicious PyPI packages. From 2.6.0 to 2.9.0, GuardDog includes attacker-controlled filenames, file locations, messages, and code snippets in its default human-readable output without escaping terminal control characters. A malicious package can therefore inject ANSI or OSC escape sequences into analyst terminals or CI logs.

