CVE-2022-21668pipenv — это инструмент рабочего процесса разработки Python. Начиная с версии 2018.10.9 и до версии 2022.1.8, недостаток в анализе pipenv файлов requirements позволяет злоумышленнику вставить специально созданную строку внутрь комментария в любом месте файла requirements.txt, что приведет к тому, что жертвы, использующие pipenv для установки файла requirements, загрузят зависимости с сервера индекса пакетов, контролируемого злоумышленником. Встраивая вредоносный код в пакеты, обслуживаемые с их вредоносного индексного сервера, злоумышленник может вызвать произвольное удаленное выполнение кода (RCE) в системах жертв. Если злоумышленник сможет скрыть вредоносный параметр `--index-url` в файле requirements, который жертва устанавливает с помощью pipenv, злоумышленник может встроить произвольный вредоносный код в пакеты, обслуживаемые с их вредоносного индексного сервера, который будет выполнен на хосте жертвы во время установки (удаленное выполнение кода/RCE). Когда pip устанавливает из исходного дистрибутива, любой код в setup.py выполняется процессом установки. Эта проблема исправлена в версии 2022.1.8. GitHub Security Advisory содержит дополнительную информацию об этой уязвимости.