CVE-2025-8869 in pipinfo

Zusammenfassung

von VulDB • 14.06.2026

Bei der Extraktion eines tar-Archivs prüft pip möglicherweise nicht, ob symbolische Links in das Extraktionsverzeichnis zeigen, wenn die Moduls `tarfile` PEP 706 nicht implementiert. Beachten Sie, dass ein Upgrade von pip auf eine „gepatchte“ Version für diese Schwachstelle nicht alle bekannten Sicherheitslücken behebt, die durch die Verwendung einer Python-Version behoben werden, die PEP 706 implementiert.

Beachten Sie, dass dies eine Schwachstelle in der Fallback-Implementierung der tar-Extraktion von pip ist, die für Python-Versionen gilt, die PEP 706 nicht implementieren, und daher nicht gegen alle Sicherheitslücken im Python-Modul `tarfile` schützt. Wenn Sie eine Python-Version verwenden, die PEP 706 implementiert, verwendet pip den „anfälligen“ Fallback-Code nicht.

Zu den Abhilfemaßnahmen gehören das Upgrade auf eine Version von pip, die die Korrektur enthält, das Upgrade auf eine Python-Version, die PEP 706 implementiert (Python >=3.9.17, >=3.10.12, >=3.11.4 oder >=3.12), das Anwenden des verlinkten Patches oder die Überprüfung von Quellverteilungen (sdists) vor der Installation, was bereits eine bewährte Praxis ist.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

PSF

Reservieren

11.08.2025

Veröffentlichung

24.09.2025

Moderieren

akzeptiert

Eintrag

VDB-325721

CPE

bereit

EPSS

0.00438

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!