nvd,anchore_overrides
Pypa
Уязвимости
14
Эксплуатируемые
0
Критический
0
Высокий
3
Топ уязвимостей
CVE-2022-21668pipenv — это инструмент рабочего процесса разработки Python. Начиная с версии 2018.10.9 и до версии 2022.1.8, недостаток в анализе pipenv файлов requirements позволяет злоумышленнику вставить специально созданную строку внутрь комментария в любом месте файла requirements.txt, что приведет к тому, что жертвы, использующие pipenv для установки файла requirements, загрузят зависимости с сервера индекса пакетов, контролируемого злоумышленником. Встраивая вредоносный код в пакеты, обслуживаемые с их вредоносного индексного сервера, злоумышленник может вызвать произвольное удаленное выполнение кода (RCE) в системах жертв. Если злоумышленник сможет скрыть вредоносный параметр `--index-url` в файле requirements, который жертва устанавливает с помощью pipenv, злоумышленник может встроить произвольный вредоносный код в пакеты, обслуживаемые с их вредоносного индексного сервера, который будет выполнен на хосте жертвы во время установки (удаленное выполнение кода/RCE). Когда pip устанавливает из исходного дистрибутива, любой код в setup.py выполняется процессом установки. Эта проблема исправлена в версии 2022.1.8. GitHub Security Advisory содержит дополнительную информацию об этой уязвимости.
CVE-2019-20916Пакет pip до версии 19.2 для Python допускает обход каталогов, когда в команде установки указан URL-адрес, поскольку заголовок Content-Disposition может содержать ../ в имени файла, как показано на примере перезаписи файла /root/.ssh/authorized_keys. Это происходит в _download_http_url в _internal/download.py.
CVE-2018-20225Проблема обнаружена в pip (все версии), поскольку он устанавливает версию с самым высоким номером версии, даже если пользователь намеревался получить частный пакет из частного индекса. Это влияет только на использование опции --extra-index-url, и для эксплуатации требуется, чтобы пакет еще не существовал в общедоступном индексе (и, следовательно, злоумышленник может поместить пакет туда с произвольным номером версии). ПРИМЕЧАНИЕ: сообщалось, что это предполагаемая функциональность, и пользователь несет ответственность за безопасное использование --extra-index-url.
CVE-2013-1629pip до версии 1.3 использует HTTP для получения пакетов из репозитория PyPI и не выполняет проверки целостности содержимого пакетов, что позволяет злоумышленникам, находящимся в позиции "человек посередине", выполнять произвольный код через специально созданный ответ на операцию "pip install".
CVE-2025-8869При извлечении архива tar pip может не проверять, указывают ли символические ссылки в директорию извлечения, если модуль tarfile не реализует PEP 706. Обратите внимание, что обновление pip до «исправленной» версии для этой уязвимости не устраняет все известные уязвимости, которые исправляются использованием версии Python, реализующей PEP 706. Это уязвимость в реализации pip извлечения tar для версий Python, не реализующих PEP 706, и, следовательно, не защищенных от всех уязвимостей в модуле 'tarfile' Python. Если используется версия Python, реализующая PEP 706, pip не использует «уязвимый» код. Смягчающие меры включают обновление до версии pip, содержащей исправление, обновление до версии Python, реализующей PEP 706 (Python >=3.9.17, >=3.10.12, >=3.11.4 или >=3.12), применение связанного патча или проверку исходных дистрибутивов (sdists) перед установкой, что уже является хорошей практикой [1].
Источники:
- [1] https://github.com/pypa/pip/pull/13550
- [2] https://mail.python.org/archives/list/security-announce@python.org/thread/IF5A3GCJY3VH7BVHJKOWOJFKTW7VFQEN/
CVE-2013-5123Поддержка зеркалирования (-M, --use-mirrors) в Python Pip до версии 1.5 использует небезопасные DNS-запросы и проверки подлинности, что позволяет злоумышленникам выполнять атаки типа "человек посередине".
CVE-2026-6357pip до версии 26.1 будет запускать функцию проверки самообновления после установки файлов колес, которые требовали импорта известных имен модулей Python. Эти импортные модули были намеренно отложены, чтобы увеличить время запуска pip CLI. Патч изменяет функциональность самообновления для запуска до установки колес, чтобы предотвратить импорт недавно установленных модулей вскоре после установки пакета колес. Пользователи должны просматривать содержимое пакета перед установкой.
CVE-2026-3219pip обрабатывает конкатенированные файлы смолы и ZIP в виде ZIP-файлов независимо от имени файла или того, является ли файл как смолой, так и ZIP-файлом. Такое поведение может привести к запутанному поведению установки, например, к установке «неправиленных» файлов в соответствии с именем файла архива. Новое поведение приступает к установке только в том случае, если файл идентифицирует себя как ZIP или архив смол, а не как оба.
CVE-2021-3572В python-pip обнаружена ошибка в способе обработки разделителей Unicode в ссылках git. Удаленный злоумышленник может использовать эту проблему для установки другой ревизии в репозитории. Наибольшую угрозу от этой уязвимости представляет целостность данных. Это исправлено в python-pip версии 21.1.
CVE-2026-8643pip будет рассматривать консоль_scripts и gui_scripts как пути вместо имен файлов без санации разрешенного абсолютного пути к каталогу установки, что приводит к тому, что точки входа устанавливаются за пределами каталога установки.
CVE-2023-5752При установке пакета из URL Mercurial VCS (например, "pip install
hg+...") с pip до версии 23.3 указанная ревизия Mercurial может быть использована для инъекции произвольных параметров конфигурации в вызов "hg clone" (например, "--config"). Контроль конфигурации Mercurial может изменить способ и то, какой репозиторий будет установлен. Эта уязвимость не затрагивает пользователей, которые не устанавливают из Mercurial.
CVE-2014-8991pip 1.3–1.5.6 позволяет локальным пользователям вызывать отказ в обслуживании (предотвращение установки пакета) путем создания файла /tmp/pip-build-* для другого пользователя.
CVE-2013-1888pip до версии 1.3 позволяет локальным пользователям перезаписывать произвольные файлы через атаку с использованием символических ссылок на файл во временном каталоге /tmp/pip-build.
CVE-2026-1703Когда pip устанавливает и извлекает злонамеренно созданный архив колес, файлы могут быть извлечены за пределами каталога установки. Прохождение пути ограничено префиксами каталога установки, поэтому не может вводить или перезаписивать исполняемые файлы в типичных ситуациях.