CVE-2020-5252 in safety Package
Riassunto
di VulDB • 27/06/2026
Il pacchetto "safety" per la riga di comando di Python presenta un potenziale problema di sicurezza. Esistono due caratteristiche di Python che permettono al codice malevolo di avvelenare (“poison-pillâ€�) le routine di rilevamento del pacchetto Safety per la riga di comando, mascherando o offuscando altri pacchetti dannosi o non sicuri. Questa vulnerabilità è considerata a bassa severità poiché l'attacco sfrutta una condizione esistente di Python e non lo strumento Safety stesso. Ciò può accadere se: Si sta eseguendo Safety in un ambiente Python che non si ritiene attendibile. Si sta eseguendo Safety dallo stesso ambiente Python in cui sono installate le proprie dipendenze. I pacchetti delle dipendenze vengono installati arbitrariamente o senza una verifica adeguata. Gli utenti possono mitigare questo problema effettuando una qualsiasi delle seguenti azioni: Eseguire un'analisi statica installando Docker ed eseguendo l'immagine Docker di Safety: $ docker run --rm -it pyupio/safety check -r requirements.txt Eseguire Safety contro un elenco statico di dipendenze, come il file requirements.txt, in un ambiente Python separato e pulito. Eseguire Safety da una pipeline di Continuous Integration. Utilizzare PyUp.io, che esegue Safety in un ambiente controllato ed effettua controlli sulle dipendenze Python senza la necessità di installarle. Utilizzare l'Online Requirements Checker di PyUp.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.