Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13251

Опубликовано: 24 сент. 2025
Источник: fstec
CVSS3: 5.7
CVSS2: 6.1
EPSS Низкий

Описание

Уязвимость модуля tarfile языка программирования Python связана с некорректным определением символических ссылок в ходе осуществления доступа к файлу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации

Вендор

Python Software Foundation

Наименование ПО

Python

Версия ПО

до 3.11.4 (Python)
до 3.9.17 (Python)
до 3.10.12 (Python)
до 3.12 (Python)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/pypa/pip/pull/13550

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 5%
0.00025
Низкий

5.7 Medium

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251029-03

CVSS3: 5.7
redos
5 дней назад

Уязвимость python3-pip

ubuntu логотип

CVE-2025-8869

ubuntu
около 1 месяца назад

When extracting a tar archive pip may not check symbolic links point into the extraction directory if the tarfile module doesn't implement PEP 706. Note that upgrading pip to a "fixed" version for this vulnerability doesn't fix all known vulnerabilities that are remediated by using a Python version that implements PEP 706. Note that this is a vulnerability in pip's fallback implementation of tar extraction for Python versions that don't implement PEP 706 and therefore are not secure to all vulnerabilities in the Python 'tarfile' module. If you're using a Python version that implements PEP 706 then pip doesn't use the "vulnerable" fallback code. Mitigations include upgrading to a version of pip that includes the fix, upgrading to a Python version that implements PEP 706 (Python >=3.9.17, >=3.10.12, >=3.11.4, or >=3.12), applying the linked patch, or inspecting source distributions (sdists) before installation as is already a best-practice.

nvd логотип

CVE-2025-8869

nvd
около 1 месяца назад

When extracting a tar archive pip may not check symbolic links point into the extraction directory if the tarfile module doesn't implement PEP 706. Note that upgrading pip to a "fixed" version for this vulnerability doesn't fix all known vulnerabilities that are remediated by using a Python version that implements PEP 706. Note that this is a vulnerability in pip's fallback implementation of tar extraction for Python versions that don't implement PEP 706 and therefore are not secure to all vulnerabilities in the Python 'tarfile' module. If you're using a Python version that implements PEP 706 then pip doesn't use the "vulnerable" fallback code. Mitigations include upgrading to a version of pip that includes the fix, upgrading to a Python version that implements PEP 706 (Python >=3.9.17, >=3.10.12, >=3.11.4, or >=3.12), applying the linked patch, or inspecting source distributions (sdists) before installation as is already a best-practice.

msrc логотип

CVE-2025-8869

msrc
около 1 месяца назад

Fallback tar extraction in pip doesn't check symbolic links point to extraction directory

debian логотип

CVE-2025-8869

debian
около 1 месяца назад

When extracting a tar archive pip may not check symbolic links point i ...

EPSS

Процентиль: 5%
0.00025
Низкий

5.7 Medium

CVSS3

6.1 Medium

CVSS2