CVE-2026-3479
NiskieStreszczenie
Projekt wyjaśnił, że dokumentacja była niepoprawna i że funkcja pkgutil.get_data() ma ten sam model bezpieczeństwa co open(). Dokumentacja została zaktualizowana, aby wyjaśnić ten punkt, co oznacza, że nie ma podatności w tej funkcji, jeśli przestrzegany jest zamierzony model bezpieczeństwa.
Ocena ryzyka
Dla organizacji ryzyko związane z tą podatnością jest zminimalizowane, ponieważ nie istnieje rzeczywista luka, o ile stosowane są odpowiednie praktyki bezpieczeństwa.
Rekomendacja
Zaleca się zapoznanie się z zaktualizowaną dokumentacją oraz stosowanie się do zamierzonego modelu bezpieczeństwa przy korzystaniu z pkgutil.get_data().
Oryginalny opis (angielski, źródło NVD)
DISPUTED: The project has clarified that the documentation was incorrect, and that pkgutil.get_data() has the same security model as open(). The documentation has been updated to clarify this point. There is no vulnerability in the function if following the intended security model. pkgutil.get_data

