Katalog CVE

CVE-2026-8643

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 - wyżej niż 24% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu pip polega na traktowaniu wpisów console_scripts i gui_scripts jako ścieżek zamiast nazw plików, bez odpowiedniego oczyszczenia rozpoznanej ścieżki bezwzględnej do katalogu instalacyjnego. Umożliwia to instalowanie punktów wejściowych poza docelowym katalogiem instalacyjnym.

Ocena ryzyka

Ryzyko polega na możliwości umieszczenia złośliwych plików wykonywalnych w nieautoryzowanych lokalizacjach systemowych, co może prowadzić do eskalacji uprawnień lub uruchomienia niebezpiecznego kodu.

Rekomendacja

Zaleca się natychmiastową aktualizację narzędzia pip do najnowszej wersji łatającej tę podatność oraz weryfikację, czy żadne nieautoryzowane punkty wejściowe nie zostały zainstalowane poza standardowymi katalogami.

Oryginalny opis (angielski, źródło NVD)

pip would treat console_scripts and gui_scripts as paths instead of file names without sanitizing the resolved absolute path to the installation directory, leading to entry points being installed outside the installation directory.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS