V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
Copier-orgПриложениеanchore_overrides,nvd

Copier

Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
8.5
Макс. EPSS
0.00383

Распределение по критичности

Критический
0
Высокий
1
Средний
5
Низкий
0

Затронутые диапазоны версий

7.1.0–9.9.1< 9.11.2< 9.14.1< 9.9.1
Также сопоставлено как (исходные строки): copier

Топ уязвимостей

CVE-2025-55201Библиотека копье и приложение CLI для рендеринга шаблонов проектов. До 9.9.1 безопасный шаблон может в настоящее время читать и записывать произвольные файлы, потому что Copier обнажает несколько объектов pathlib.Path в контексте Jinja, которые имеют неограниченное количество методов ввода/вывода. Это эффективно делает доступ к файловой системе безопасности w.r.t. бесполезным. Эта уязвимость исправлена в пункте 9.9.1.
CVE-2026-23986Copier - это библиотека и приложение CLI для рендеринга шаблонов проектов. До версии 9.11.2, Copier предполагает, что безопасно генерировать проект из безопасного шаблона, то есть тот, который не использует небезопасные функции, такие как пользовательские расширения Jinja, которые потребуют прохождения флага «-UNSAFE,-trust». Как выясняется, безопасный шаблон в настоящее время может писать в произвольные каталоги за пределами пути назначения, используя каталог симуляцию вместе с `_preserve_symlinks: true` и сгенерированной структурой каталога, чей путь находится внутри симулированного каталога. Этого автор вредоносного шаблона может создать шаблон, который перезаписывает произвольные файлы (согласно разрешениям на запись пользователя), например, чтобы вызвать хаос. Версия 9.11.2 исправляет проблему.
CVE-2025-55214Библиотека копье и приложение CLI для рендеринга шаблонов проектов. С 7.1.0 до 9.9.1, Copier предполагает, что безопасно генерировать проект из безопасного шаблона, то есть тот, который не использует небезопасные функции, такие как пользовательские расширения Jinja, которые потребуют прохождения флага доверия UNSAFE, - Как выясняется, безопасный шаблон может в настоящее время записывать файлы за пределами пути назначения, где проект должен быть сгенерирован или обновлен. Это возможно при визуализации генерируемой структуры каталога, чей путь является либо относительным родительским путем, либо абсолютным путем. Построение таких путей возможно с помощью встроенного фильтра Copier в пути Jinja и его встроенной переменной _copier_conf.sep, которая является платформенным сепаратором. Таким образом, автор вредоносного шаблона может создать шаблон, который перезаписывает произвольные файлы (согласно разрешениям на запись пользователя), например, чтобы вызвать хаос. Эта уязвимость исправлена в пункте 9.9.1.
CVE-2026-23968Copier - это библиотека и приложение CLI для рендеринга шаблонов проектов. До версии 9.11.2 Копир предполагает, что безопасно генерировать проект из безопасного шаблона, то есть тот, который не использует небезопасные функции, такие как пользовательские расширения Jinja, которые потребуют прохождения флага «Небезопасно,-Толкнета». Как выясняется, безопасный шаблон в настоящее время может включать произвольные файлы / каталоги за пределами локального местоположения клона шаблона, используя симбилины вместе с `_preserve_symlinks: false` (что является настройкой Copier по умолчанию). Версия 9.11.2 исправляет проблему.
CVE-2026-34730Copier - это библиотека и приложение CLI для рендеринга шаблонов проектов. До версии 9.14.1 функция _external_data от Copier позволяет шаблону загружать файлы YAML с помощью шаблонных путей. Если ненадежные шаблоны находятся в объеме, вредоносный шаблон может считывать выбранные злоумышленником локальных файлов, которые доступны для пользователя, работающего под управлением Copier, и выставлять их содержимое в отображаемом выводе. Этот вопрос был исправлен в версии 9.14.1.
CVE-2026-34726Copier - это библиотека и приложение CLI для рендеринга шаблонов проектов. До версии 9.14.1, установка подкаталога Copier документируется как подкаталог для использования в качестве корня шаблона. Тем не менее, текущая реализация принимает проход parent-directory, такой как .., и использует его непосредственно при выборе корня шаблона. В результате шаблон может выйти из собственного каталога и заставить файлы копье рендеринга из родительского каталога без -UNSAFE. Этот вопрос был исправлен в версии 9.14.1.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →