CVE-2020-5252 in safety Packageinformazioni

Riassunto

di VulDB • 27/06/2026

Il pacchetto "safety" per la riga di comando di Python presenta un potenziale problema di sicurezza. Esistono due caratteristiche di Python che permettono al codice malevolo di avvelenare (“poison-pillâ€�) le routine di rilevamento del pacchetto Safety per la riga di comando, mascherando o offuscando altri pacchetti dannosi o non sicuri. Questa vulnerabilità è considerata a bassa severità poiché l'attacco sfrutta una condizione esistente di Python e non lo strumento Safety stesso. Ciò può accadere se: Si sta eseguendo Safety in un ambiente Python che non si ritiene attendibile. Si sta eseguendo Safety dallo stesso ambiente Python in cui sono installate le proprie dipendenze. I pacchetti delle dipendenze vengono installati arbitrariamente o senza una verifica adeguata. Gli utenti possono mitigare questo problema effettuando una qualsiasi delle seguenti azioni: Eseguire un'analisi statica installando Docker ed eseguendo l'immagine Docker di Safety: $ docker run --rm -it pyupio/safety check -r requirements.txt Eseguire Safety contro un elenco statico di dipendenze, come il file requirements.txt, in un ambiente Python separato e pulito. Eseguire Safety da una pipeline di Continuous Integration. Utilizzare PyUp.io, che esegue Safety in un ambiente controllato ed effettua controlli sulle dipendenze Python senza la necessità di installarle. Utilizzare l'Online Requirements Checker di PyUp.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Prenotare

02/01/2020

Moderazione

accettato

CPE

pronto

EPSS

0.00366

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!