Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-03593

Опубликовано: 22 янв. 2026
Источник: fstec
CVSS3: 7.1
CVSS2: 6.6
EPSS Низкий

Описание

Уязвимость инструмента командной строки для работы с файлами Wheel связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии или выполнить произвольный код

Вендор

ООО «Ред Софт»
Python Software Foundation

Наименование ПО

РЕД ОС
Wheel

Версия ПО

8.0 (РЕД ОС)
до 0.46.2 (Wheel)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/pypa/wheel/security/advisories/GHSA-8rrh-rw8j-w5fx
Для Ред ОС:
https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-24049

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.00011
Низкий

7.1 High

CVSS3

6.6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20260310-73-0035

CVSS3: 5.5
redos
19 дней назад

Уязвимость python-wheel

ubuntu логотип

CVE-2026-24049

CVSS3: 7.1
ubuntu
2 месяца назад

wheel is a command line tool for manipulating Python wheel files, as defined in PEP 427. In versions 0.40.0 through 0.46.1, the unpack function is vulnerable to file permission modification through mishandling of file permissions after extraction. The logic blindly trusts the filename from the archive header for the chmod operation, even though the extraction process itself might have sanitized the path. Attackers can craft a malicious wheel file that, when unpacked, changes the permissions of critical system files (e.g., /etc/passwd, SSH keys, config files), allowing for Privilege Escalation or arbitrary code execution by modifying now-writable scripts. This issue has been fixed in version 0.46.2.

redhat логотип

CVE-2026-24049

CVSS3: 7.1
redhat
2 месяца назад

wheel is a command line tool for manipulating Python wheel files, as defined in PEP 427. In versions 0.40.0 through 0.46.1, the unpack function is vulnerable to file permission modification through mishandling of file permissions after extraction. The logic blindly trusts the filename from the archive header for the chmod operation, even though the extraction process itself might have sanitized the path. Attackers can craft a malicious wheel file that, when unpacked, changes the permissions of critical system files (e.g., /etc/passwd, SSH keys, config files), allowing for Privilege Escalation or arbitrary code execution by modifying now-writable scripts. This issue has been fixed in version 0.46.2.

nvd логотип

CVE-2026-24049

CVSS3: 7.1
nvd
2 месяца назад

wheel is a command line tool for manipulating Python wheel files, as defined in PEP 427. In versions 0.40.0 through 0.46.1, the unpack function is vulnerable to file permission modification through mishandling of file permissions after extraction. The logic blindly trusts the filename from the archive header for the chmod operation, even though the extraction process itself might have sanitized the path. Attackers can craft a malicious wheel file that, when unpacked, changes the permissions of critical system files (e.g., /etc/passwd, SSH keys, config files), allowing for Privilege Escalation or arbitrary code execution by modifying now-writable scripts. This issue has been fixed in version 0.46.2.

debian логотип

CVE-2026-24049

CVSS3: 7.1
debian
2 месяца назад

wheel is a command line tool for manipulating Python wheel files, as d ...

EPSS

Процентиль: 1%
0.00011
Низкий

7.1 High

CVSS3

6.6 Medium

CVSS2