V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
DatadoghqПриложениеanchore_overrides,nvd

Guarddog

Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
8.7
Макс. EPSS
0.00946

Распределение по критичности

Критический
0
Высокий
4
Средний
2
Низкий
0

Затронутые диапазоны версий

1.0.0–2.9.02.6.0–2.9.0< 0.1.5< 0.1.8< 2.7.1
Также сопоставлено как (исходные строки): guarddog

Топ уязвимостей

CVE-2026-22871GuardDog - это инструмент CLI для идентификации вредоносных пакетов PyPI. До 2.7.1 в функции Safe_extract() GuardDog существует уязвимость прохождения, которая позволяет вредоносным пакетам PyPI записывать произвольные файлы за пределами указанной каталога извлечения, что приводит к произбытковому перезаписи и удаленному исполнению кода на системах под управлением GuardDog. Эта уязвимость зафиксирована в пункте 2.7.1.
CVE-2026-44971GuardDog - это инструмент CLI для идентификации вредоносных пакетов PyPI. От 1.0.0 до 2.9.0, программный путь дистанционного сканирования проекта переписывает URL-адреса хранилища, управляемых злоумышленником, с помощью замены слепой строки, а затем отправляет учетные данные GitHub абонента с полученным запросом. Это позволяет злоумышленнику, который может влиять на сканируемый URL-адрес репозитора, запускать SSRF и захватывать GH_TOKEN, используемый GuardDog. Эта уязвимость фиксируется в .
CVE-2022-23531GuardDog - это инструмент командной строки для выявления вредоносных пакетов PyPI. Версии до 0.1.5 уязвимы для относительного обхода пути при сканировании специально созданного локального пакета PyPI. Запуск GuardDog против специально созданного пакета может позволить злоумышленнику записать произвольный файл на машине, где выполняется GuardDog, из-за уязвимости обхода пути при извлечении файла .tar.gz сканируемого пакета, которая существует по замыслу в функции tarfile.TarFile.extractall. Эта проблема исправлена в версии 0.1.5.
CVE-2026-22870GuardDog - это инструмент CLI для идентификации вредоносных пакетов PyPI. До 2.7.1 функция Safe_extract() GuardDog не проверяет декомпрессионные размеры файлов при извлечении ZIP-архивов (колес, яйца), что позволяет злоумышленникам вызывать отказ в обслуживании через молниеносные бомбы. Вредоносная упаковка может потреблять гигабайты дискового пространства из нескольких мегабайт сжатых данных. Эта уязвимость зафиксирована в пункте 2.7.1.
CVE-2022-23530GuardDog - это инструмент командной строки для выявления вредоносных пакетов PyPI. Версии до v0.1.8 уязвимы для произвольной записи файлов при сканировании специально созданного удаленного пакета PyPI. Извлечение файлов с помощью shutil.unpack_archive() из потенциально вредоносного tarball без проверки того, находится ли целевой путь к файлу в пределах предполагаемого целевого каталога, может привести к перезаписи файлов за пределами целевого каталога. Эта проблема исправлена в версии 0.1.8. Потенциальные обходные пути включают использование более безопасного модуля, такого как zipfile, и проверку местоположения извлеченных файлов, а также отбрасывание файлов со злонамеренными путями.
CVE-2026-44972GuardDog - это инструмент CLI для идентификации вредоносных пакетов PyPI. С 2.6.0 до 2.9.0, GuardDog включает в себя управляемые злоумышленником имена файлов, местоположения файлов, сообщения и фрагменты кода в своем управляемом человеком выводе по умолчанию без выхода из терминального управления. Таким образом, вредоносный пакет может вводить последовательности побега ANSI или OSC в аналитические терминалы или журналы CI.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →