CVE-2026-41140 in poetryالمعلومات

الملخص

بحسب VulDB • 04/06/2026

Poetry هو مدير تبعيات لـ Python. قبل الإصدار 2.3.4، تقوم دالة extractall() الموجودة في src/poetry/utils/helpers.py:410-426 باستخراج ملفات tarball الخاصة بـ sdist دون حماية من عبور المسار (path traversal) على إصدارات Python التي لا تتوفر فيها tarfile.data_filter. وبالنظر فقط إلى إصدارات Python التي لا تزال مدعومة من Poetry، فإن هذه الإصدارات هي 3.10.0 - 3.10.12 و 3.11.0 - 3.11.4. تم إصلاح هذه الثغرة في الإصدار 2.3.4.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

17/04/2026

إفشاء

24/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359490

CPE

جاهز

CWE

CWE-22 (مؤكد)

CVSS

6.5 (VulDB)

EPSS

0.00090

KEV

لا

النشاطات

منخفض جدًا

القطاع

Education, Hostingprovider, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41140
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41140
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41140/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!