Katalog CVE

CVE-2026-54328

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Pi to minimalny zestaw narzędzi do kodowania w terminalu. W wersjach od 0.74.0 do 0.78.1, instalacje tymczasowych pakietów npm lub git używały przewidywalnych ścieżek w systemowym katalogu tymczasowym, co umożliwiało lokalnemu atakującemu wstrzyknięcie złośliwego kodu.

Ocena ryzyka

Na systemach wieloużytkownikowych opartych na Linuksie, atakujący mogą przygotować lokalizację pakietu przed uruchomieniem Pi przez innego użytkownika, co prowadzi do załadowania kontrolowanego przez atakującego kodu w procesie ofiary.

Rekomendacja

Zaleca się aktualizację do wersji 0.78.1, w której ta podatność została naprawiona, aby zminimalizować ryzyko ataku.

Oryginalny opis (angielski, źródło NVD)

Pi is a minimal terminal coding harness. From 0.74.0 until 0.78.1, Pi versions with temporary npm or git extension package installs used predictable paths under the operating system temporary directory. On Linux-based multi-user systems, a local attacker who can write to the shared temporary directory could prepare the expected package location before another user runs pi with a temporary extension package source. Pi could then load attacker-controlled extension code in the victim user's process. This vulnerability is fixed in 0.78.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS