BDU:2025-08604

Опубликовано: 17 мая 2025

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость библиотеки упрощения упаковки проектов setuptools связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скомпрометировать уязвимую систему

Вендор

Novell Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «ИВК»

Red Hat Inc.

Python Software Foundation

Наименование ПО

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Server

SUSE Linux Enterprise High Performance Computing

SUSE Linux Enterprise Module for Public Cloud

Debian GNU/Linux

РЕД ОС

SUSE Linux Enterprise Micro

SUSE Manager Retail Branch Server

SUSE Manager Proxy

SUSE Manager Server

SUSE Enterprise Storage

АЛЬТ СП 10

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Module for Basesystem

OpenSUSE Leap

SUSE Linux Enterprise Module for Python 3

Red Hat Enterprise Linux

setuptools

Red Hat Developer Hub

Версия ПО

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

12 (SUSE Linux Enterprise High Performance Computing)

12 (SUSE Linux Enterprise Module for Public Cloud)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 (SUSE Linux Enterprise Server for SAP Applications)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

12 (Suse Linux Enterprise Server)

7.3 (РЕД ОС)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

5.1 (SUSE Linux Enterprise Micro)

15 SP4 (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

5.2 (SUSE Linux Enterprise Micro)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Proxy)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

15 SP4 (SUSE Linux Enterprise Module for Public Cloud)

7.1 (SUSE Enterprise Storage)

5.3 (SUSE Linux Enterprise Micro)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP3-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

5.4 (SUSE Linux Enterprise Micro)

- (АЛЬТ СП 10)

5.5 (SUSE Linux Enterprise Micro)

15 SP4-ESPOS (SUSE Linux Enterprise High Performance Computing)

15 SP4-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP4-LTSS (Suse Linux Enterprise Server)

15 SP6 (Suse Linux Enterprise Desktop)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15 SP6 (SUSE Linux Enterprise High Performance Computing)

15 SP6 (SUSE Linux Enterprise Module for Basesystem)

15.6 (OpenSUSE Leap)

6.0 (SUSE Linux Enterprise Micro)

12 SP5-LTSS (Suse Linux Enterprise Server)

12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)

15 SP5-LTSS (Suse Linux Enterprise Server)

15 SP5-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP5-ESPOS (SUSE Linux Enterprise High Performance Computing)

15 SP6 (SUSE Linux Enterprise Module for Python 3)

15 SP7 (Suse Linux Enterprise Desktop)

15 SP7 (SUSE Linux Enterprise High Performance Computing)

15 SP7 (Suse Linux Enterprise Server)

15 SP7 (SUSE Linux Enterprise Server for SAP Applications)

15 SP7 (SUSE Linux Enterprise Module for Basesystem)

10 (Red Hat Enterprise Linux)

до 78.1.1 (setuptools)

1.6 (Red Hat Developer Hub)

15 SP7 (SUSE Linux Enterprise Module for Python 3)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое средство

ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Novell Inc. Suse Linux Enterprise Server 12

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

АО «ИВК» АЛЬТ СП 10 -

Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP6

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security

Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP7

Novell Inc. Suse Linux Enterprise Server 15 SP7

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7

Red Hat Inc. Red Hat Enterprise Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/pypa/setuptools/blob/6ead555c5fb29bc57fe6105b1bffc163f56fd558/setuptools/package_index.py#L810C1-L825C88

Для РедОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-python3-setuptools-cve-2025-47273/?sphrase_id=1076702

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-47273

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2025-47273

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2025-47273.html

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-47273
CVE

EPSS

Процентиль: 35%

0.00139

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-47273

CVSS3: 8.8

ubuntu

3 месяца назад

setuptools is a package that allows users to download, build, install, upgrade, and uninstall Python packages. A path traversal vulnerability in `PackageIndex` is present in setuptools prior to version 78.1.1. An attacker would be allowed to write files to arbitrary locations on the filesystem with the permissions of the process running the Python code, which could escalate to remote code execution depending on the context. Version 78.1.1 fixes the issue.

CVE-2025-47273

CVSS3: 7.1

redhat

3 месяца назад

CVE-2025-47273

CVSS3: 8.8

nvd

3 месяца назад

CVE-2025-47273

CVSS3: 8.8

msrc

около 2 месяцев назад

Описание отсутствует

CVE-2025-47273

CVSS3: 8.8

debian

3 месяца назад

setuptools is a package that allows users to download, build, install, ...

EPSS

Процентиль: 35%

0.00139

Низкий

8.8 High

CVSS3

9 Critical

CVSS2