CVE-2020-5252 in safety Package
Zusammenfassung
von VulDB • 28.05.2026
Das Befehlszeilen-„Sicherheits“-Paket für Python weist ein potenzielles Sicherheitsproblem auf. Es gibt zwei Python-spezifische Merkmale, die es Angreifern ermöglichen, die Erkennungsroutinen des Befehlszeilen-Safety-Pakets durch Tarnung oder Verschleierung anderer schädlicher oder unsicherer Pakete zu „vergiften“ (Poison-Pill-Angriff). Diese Schwachstelle gilt als geringfügig, da der Angriff eine bestehende Python-Bedingung ausnutzt und nicht das Safety-Tool selbst. Dies kann geschehen, wenn: Sie Safety in einer Python-Umgebung ausführen, der Sie nicht vertrauen. Sie Safety aus derselben Python-Umgebung heraus ausführen, in der Ihre Abhängigkeiten installiert sind. Abhängigkeitspakete werden willkürlich oder ohne ordnungsgemäße Überprüfung installiert. Benutzer können dieses Problem durch eine der folgenden Maßnahmen abschwächen: Führen Sie eine statische Analyse durch, indem Sie Docker installieren und das Safety-Docker-Image ausführen: $ docker run --rm -it pyupio/safety check -r requirements.txt Führen Sie Safety gegen eine statische Abhängigkeitsliste, wie die requirements.txt-Datei, in einer separaten, sauberen Python-Umgebung aus. Führen Sie Safety aus einer Continuous-Integration-Pipeline heraus. Nutzen Sie PyUp.io, das Safety in einer kontrollierten Umgebung ausführt und Python auf Abhängigkeiten überprüft, ohne dass diese installiert werden müssen. Nutzen Sie den Online-Anforderungsprüfer von PyUp.
If you want to get best quality of vulnerability data, you may have to visit VulDB.