CVE-2020-5252 in safety Packageالمعلومات

الملخص

بحسب VulDB • 28/05/2026

يحتوي حزمة "safety" الخاصة بواجهة سطر الأوامر (CLI) للغة بايثون على مشكلة أمنية محتملة. هناك ميزتان في لغة بايثون تتيحان للبرمجيات الخبيثة أن تقوم بـ "إفساد" (poison-pill) روتينات كشف حزمة Safety لسطر الأوامر من خلال إخفاء أو تشويش الحزم الخبيثة أو غير الآمنة الأخرى. يُصنف هذا الثغرة على أنها منخفضة الخطورة لأن الهجوم يستغل حالة موجودة في بايثون، وليس أداة Safety نفسها. يمكن أن يحدث هذا إذا: كنت تقوم بتشغيل Safety في بيئة بايثون لا تثق بها. كنت تقوم بتشغيل Safety من نفس بيئة بايثون التي تم تثبيت تبعياتها (dependencies) فيها. يتم تثبيت حزم التبعيات بشكل تعسفي أو دون التحقق منها بشكل صحيح. يمكن للمستخدمين التخفيف من هذه المشكلة عن طريق القيام بأي مما يلي: إجراء تحليل ثابت عن طريق تثبيت Docker وتشغيل صورة Docker الخاصة بـ Safety: $ docker run --rm -it pyupio/safety check -r requirements.txt تشغيل Safety ضد قائمة ثابتة للتبعيات، مثل ملف requirements.txt، في بيئة بايثون منفصلة ونظيفة. تشغيل Safety من خلال خط أنابيب التكامل المستمر (Continuous Integration pipeline). استخدام PyUp.io، الذي يشغل Safety في بيئة خاضعة للرقابة ويفحص بايثون بحثًا عن التبعيات دون الحاجة إلى تثبيتها. استخدام فاحص المتطلبات عبر الإنترنت من PyUp.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

حجز

02/01/2020

الاعتدال

تمت الموافقة

إدخال

VDB-152033

EPSS

0.00366

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!