V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-34591
CVE
Высокий

Поэзия является менеджером по зависимым отношениям для Python. От версии 1.4.0 до версии 2.3.3, созданное колесо может содержать пути, кото…

CVSS
7.1
Высокий
EPSS
0.00
p36
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Поэзия является менеджером по зависимым отношениям для Python. От версии 1.4.0 до версии 2.3.3, созданное колесо может содержать пути, которые Poetry записывает на диск без проверок сдерживания, позволяя произвольно писать файлы с привилегиями процесса Poetry. До него можно добраться из ненадежных упаковочных артефактов во время обычных потоков установки. (Обычно установка вредоносного колеса не достаточна для выполнения вредоносного кода. Вредоносный код будет выполняться только после установки, если вредоносный пакет импортирован или вызван пользователем.) Эта проблема была исправлена в версии 2.3.3.

Теги · CWE
Без аутентификации
CWE-22
CAPEC-64
CAPEC-76
CAPEC-78
CAPEC-79
CAPEC-126
Затронутые продукты
Poetry 1.4.0–2.3.3
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: P
Passive
Конфиденциальность уязвимой системы
VC: N
Отсутствует (N)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: N
Отсутствует (N)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.005 · p36
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
poetryОтслеживается
poetryОтслеживается
poetryОтслеживается
poetry*Отслеживается
python3-module-poetryОтслеживается
python3-module-poetryОтслеживается