CVE-2025-8869 in pip
要約
〜によって VulDB • 2026年06月09日
tarアーカイブの展開時に、tarfileモジュールがPEP 706を実装していない場合、pipはシンボリックリンクが展開先ディレクトリを指しているかどうかをチェックしない可能性があります。
この脆弱性に対して「修正済み」のバージョンにpipをアップグレードしても、PEP 706を実装するPythonバージョンを使用することで修正される既知のすべての脆弱性が解消されるわけではないことに注意してください。
これは、PEP 706を実装していないPythonバージョン向けにpipが提供するtar展開のフォールバック実装における脆弱性であり、Pythonの'tarfile'モジュールに含まれるすべての脆弱性に対して安全であるわけではないためです。PEP 706を実装するPythonバージョンを使用している場合、pipは「脆弱な」フォールバックコードを使用しません。
軽減策としては、修正を含むバージョンのpipへのアップグレード、PEP 706を実装するPythonバージョン(Python >=3.9.17、>=3.10.12、>=3.11.4、または>=3.12)へのアップグレード、関連するパッチの適用、またはすでにベストプラクティスとなっているインストール前にソースディストリビューション(sdists)を検査することが挙げられます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.