CVE-2025-8869 in pipالمعلومات

الملخص

بحسب VulDB • 14/06/2026

عند استخراج أرشيف tar، قد لا يتحقق pip من أن الروابط الرمزية تشير إلى داخل دليل الاستخراج إذا لم تنفذ وحدة `tarfile` مواصفة PEP 706.

يرجى ملاحظة أن ترقية `pip` إلى إصدار "مُصلح" لهذه الثغرة الأمنية لا يُصحّح جميع الثغرات المعروفة التي يتم معالجتها باستخدام نسخة من Python تُنفذ مواصفة PEP 706.

يُرجى الانتباه إلى أن هذه ثغرة أمنية في التنفيذ الاحتياطي (fallback implementation) الخاص بـ `pip` لاستخراج ملفات tar، والمخصص لنسخ Python التي لا تنفذ مواصفة PEP 706؛ وبالتالي، فإن هذا الحل ليس آمناً ضد جميع الثغرات الأمنية الموجودة في وحدة 'tarfile' الخاصة بـ Python. إذا كنت تستخدم نسخة من Python تُنفذ مواصفة PEP 706، فإن `pip` لا يستخدم كود "الاحتياط" المعرض للثغرة.

تشمل إجراءات التخفيف: الترقية إلى إصدار من `pip` يتضمن الإصلاح، أو الترقية إلى نسخة من Python تنفذ مواصفة PEP 706 (Python >=3.9.17, >=3.10.12, >=3.11.4, or >=3.12)، أو تطبيق التصحيح المرفق بالروابط، أو فحص توزيعات المصدر (sdists) قبل التثبيت، وهو ما يُعد بالفعل من أفضل الممارسات المعتمدة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

PSF

حجز

11/08/2025

إفشاء

24/09/2025

الاعتدال

تمت الموافقة

إدخال

VDB-325721

EPSS

0.00438

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!