INFSA-2025:9940: Устранение уязвимости python-setuptools
Информация о бюллетене
Идентификатор: INFSA-2025:9940
Тип: устранение уязвимостей
Дата публикации: 2025-07-17 21:48:25 UTC
Информация о пакете
Python — это интерпретируемый, интерактивный, объектно-ориентированный язык программирования, включающий модули, классы, исключения, динамические типы данных очень высокого уровня и динамическую типизацию. Python поддерживает интерфейсы ко многим системным вызовам и библиотекам, а также к различным оконным системам.
Описание уязвимостей
- CVE-2025-47273
Уязвимость обхода пути в библиотеке Python setuptools может позволить нарушителю с ограниченным доступом к системе записывать файлы за пределами предполагаемого временного каталога, манипулируя URL-адресами загрузки пакетов. Эта уязвимость обходит базовую очистку имён файлов и может привести к несанкционированной перезаписи важных системных файлов, создавая возможности для дальнейшей компрометации. Хотя уязвимость не раскрывает данные и не требует взаимодействия с пользователем, она всё же представляет высокий риск для целостности и особенно опасна в средах, где используется автоматизированная обработка пакетов или внутренние инструменты, основанные на setuptools.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2025-47273
|
нет информации | 7.1 | нет информации |
Обновлённые пакеты