VDB-336898 · CVE-2025-68146 · GHSA-w853-jp5j-5j7f

tox-dev filelock bis 3.20.0 auf Python UnixFileLock/WindowsFileLock os.open Race Condition

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
5.4	$0-$5k	0.00

Zusammenfassunginfo

In tox-dev filelock bis 3.20.0 für Python wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Es geht hierbei um die Funktion os.open der Komponente UnixFileLock/WindowsFileLock. Durch die Manipulation mit unbekannten Daten kann eine Race Condition-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2025-68146. Umgesetzt werden muss der Angriff lokal. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

In tox-dev filelock bis 3.20.0 auf Python wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Dabei geht es um die Funktion os.open der Komponente UnixFileLock/WindowsFileLock. Dank Manipulation mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-367. Dies wirkt sich aus auf Integrität und Verfügbarkeit. CVE fasst zusammen:

filelock is a platform-independent file lock for Python. In versions prior to 3.20.1, a Time-of-Check-Time-of-Use (TOCTOU) race condition allows local attackers to corrupt or truncate arbitrary user files through symlink attacks. The vulnerability exists in both Unix and Windows lock file creation where filelock checks if a file exists before opening it with O_TRUNC. An attacker can create a symlink pointing to a victim file in the time gap between the check and open, causing os.open() to follow the symlink and truncate the target file. All users of filelock on Unix, Linux, macOS, and Windows systems are impacted. The vulnerability cascades to dependent libraries. The attack requires local filesystem access and ability to create symlinks (standard user permissions on Unix; Developer Mode on Windows 10+). Exploitation succeeds within 1-3 attempts when lock file paths are predictable. The issue is fixed in version 3.20.1. If immediate upgrade is not possible, use SoftFileLock instead of UnixFileLock/WindowsFileLock (note: different locking semantics, may not be suitable for all use cases); ensure lock file directories have restrictive permissions (chmod 0700) to prevent untrusted users from creating symlinks; and/or monitor lock file directories for suspicious symlinks before running trusted applications. These workarounds provide only partial mitigation. The race condition remains exploitable. Upgrading to version 3.20.1 is strongly recommended.

Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 15.12.2025 mit CVE-2025-68146 vorgenommen. Das Ausnutzen gilt als schwierig. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 282543 (SUSE SLED15 / SLES15 Security Update : python-filelock (SUSE-SU-2026:0082-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Ein Upgrade auf die Version 3.20.1 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 4724d7f8c3393ec1f048c93933e6e3e6ec321f0e beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (282543) und CERT Bund (WID-SEC-2026-1730) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Betroffen

Xerox FreeFlow Print Server

Produktinfo

Hersteller

tox-dev

Name

filelock

Version

Lizenz

Open-Source

Webseite

Produkt: https://github.com/tox-dev/filelock/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.4

VulDB Base Score: 3.6
VulDB Temp Score: 3.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔒

CNA Base Score: 6.3
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Race Condition
CWE: CWE-367 / CWE-362
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Teilweise
Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 282543
Nessus Name: SUSE SLED15 / SLES15 Security Update : python-filelock (SUSE-SU-2026:0082-1)

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: filelock 3.20.1
Patch: 4724d7f8c3393ec1f048c93933e6e3e6ec321f0e

Timelineinfo

15.12.2025 CVE zugewiesen
16.12.2025 +1 Tage Advisory veröffentlicht
16.12.2025 +0 Tage VulDB Eintrag erstellt
31.05.2026 +166 Tage VulDB Eintrag letzte Aktualisierung