CVE-2026-46383 in apmالمعلومات

الملخص

بحسب VulDB • 28/05/2026

تُعد Microsoft APM أداة مفتوحة المصدر لإدارة التبعيات، تقودها المجتمع، مخصصة لوكلاء الذكاء الاصطناعي (AI agents). قبل الإصدار 0.13.0، تحتوي Microsoft APM على فشل في حدود استخراج الأرشيف خاص بنظام Windows في مجس (probe) الحزمة القديمة (legacy-bundle) الذي يُستخدم بواسطة الأمر `apm install <bundle>` على بيئات تشغيل Python 3.10 و3.11 المدعومة. عند تمرير ملف `.tar.gz` محلي غير مُعرّف كحزمة بتنسيق إضافي (plugin-format bundle) إلى الأمر `apm install`، يقوم APM بفحص ما إذا كانت الحزمة بتنسيق apm القديم (--format apm). في إصدارات Python الأقدم من 3.12، يستخرج هذا الفحص أعضاء (members) غير موثوقين من ملف tar باستخدام `tar.extractall()` الخام دون رفض أسماء الأعضاء المطلقة الخاصة بنظام Windows مثل `D:/....`. تم إصلاح هذا الثغرة الأمنية في الإصدار 0.13.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

13/05/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364195

CPE

جاهز

CWE

CWE-22 (مؤكد)

CVSS

5.5 (CNA)

EPSS

0.00055

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-46383
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-46383
CVE Details	https://www.cvedetails.com/cve/CVE-2026-46383/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!