CVE-2020-5252 in safety Packageinfo

Zusammenfassung

von VulDB • 28.05.2026

Das Befehlszeilen-„Sicherheits“-Paket für Python weist ein potenzielles Sicherheitsproblem auf. Es gibt zwei Python-spezifische Merkmale, die es Angreifern ermöglichen, die Erkennungsroutinen des Befehlszeilen-Safety-Pakets durch Tarnung oder Verschleierung anderer schädlicher oder unsicherer Pakete zu „vergiften“ (Poison-Pill-Angriff). Diese Schwachstelle gilt als geringfügig, da der Angriff eine bestehende Python-Bedingung ausnutzt und nicht das Safety-Tool selbst. Dies kann geschehen, wenn: Sie Safety in einer Python-Umgebung ausführen, der Sie nicht vertrauen. Sie Safety aus derselben Python-Umgebung heraus ausführen, in der Ihre Abhängigkeiten installiert sind. Abhängigkeitspakete werden willkürlich oder ohne ordnungsgemäße Überprüfung installiert. Benutzer können dieses Problem durch eine der folgenden Maßnahmen abschwächen: Führen Sie eine statische Analyse durch, indem Sie Docker installieren und das Safety-Docker-Image ausführen: $ docker run --rm -it pyupio/safety check -r requirements.txt Führen Sie Safety gegen eine statische Abhängigkeitsliste, wie die requirements.txt-Datei, in einer separaten, sauberen Python-Umgebung aus. Führen Sie Safety aus einer Continuous-Integration-Pipeline heraus. Nutzen Sie PyUp.io, das Safety in einer kontrollierten Umgebung ausführt und Python auf Abhängigkeiten überprüft, ohne dass diese installiert werden müssen. Nutzen Sie den Online-Anforderungsprüfer von PyUp.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Reservieren

02.01.2020

Moderieren

akzeptiert

Eintrag

VDB-152033

CPE

bereit

EPSS

0.00366

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!