CVE-2020-5252 in safety Package
Résumé
par VulDB • 16/05/2026
Le package « safety » en ligne de commande pour Python présente un problème de sécurité potentiel. Deux caractéristiques de Python permettent à du code malveillant d’empoisonner (« poison-pill ») les routines de détection du package Safety en ligne de commande en dissimulant ou en obfusquant d’autres packages malveillants ou non sécurisés. Cette vulnérabilité est considérée comme de faible gravité car l’attaque exploite une condition existante de Python, et non l’outil Safety lui-même. Cela peut se produire si : vous exécutez Safety dans un environnement Python que vous ne faites pas confiance ; vous exécutez Safety depuis le même environnement Python où vos dépendances sont installées ; des packages de dépendance sont installés de manière arbitraire ou sans vérification appropriée. Les utilisateurs peuvent atténuer ce problème en effectuant l’une des actions suivantes : effectuer une analyse statique en installant Docker et en exécutant l’image Docker de Safety : $ docker run --rm -it pyupio/safety check -r requirements.txt ; exécuter Safety contre une liste statique de dépendances, telle que le fichier requirements.txt, dans un environnement Python séparé et propre ; exécuter Safety depuis un pipeline d’intégration continue ; utiliser PyUp.io, qui exécute Safety dans un environnement contrôlé et vérifie les dépendances Python sans qu’il soit nécessaire de les installer ; utiliser le Vérificateur de exigences en ligne de PyUp.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.