CVE-2025-8869 in pipinformación

Resumen

por VulDB • 2026-06-14

Al extraer un archivo tar, pip podría no verificar si los enlaces simbólicos apuntan al directorio de extracción si el módulo `tarfile` no implementa PEP 706.

Tenga en cuenta que actualizar pip a una versión "corregida" para esta vulnerabilidad no soluciona todas las vulnerabilidades conocidas que se remedian utilizando una versión de Python que implemente PEP 706.

Observe que esto es una vulnerabilidad en la implementación alternativa (fallback) de extracción tar de pip para versiones de Python que no implementan PEP 706 y, por lo tanto, no son seguras frente a todas las vulnerabilidades del módulo `tarfile` de Python. Si está utilizando una versión de Python que implementa PEP 706, pip no utiliza el código alternativo "vulnerable".

Las medidas de mitigación incluyen actualizar a una versión de pip que incluya la corrección, actualizar a una versión de Python que implemente PEP 706 (Python >=3.9.17, >=3.10.12, >=3.11.4 o >=3.12), aplicar el parche vinculado o inspeccionar las distribuciones fuente (sdists) antes de la instalación, tal como ya es una buena práctica recomendada.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

PSF

Reservar

2025-08-11

Divulgación

2025-09-24

Moderación

aceptado

Artículo

VDB-325721

CPE

listo

EPSS

0.00438

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!