CVE-2025-8869 in pip情報

要約

〜によって VulDB • 2026年06月09日

tarアーカイブの展開時に、tarfileモジュールがPEP 706を実装していない場合、pipはシンボリックリンクが展開先ディレクトリを指しているかどうかをチェックしない可能性があります。

この脆弱性に対して「修正済み」のバージョンにpipをアップグレードしても、PEP 706を実装するPythonバージョンを使用することで修正される既知のすべての脆弱性が解消されるわけではないことに注意してください。

これは、PEP 706を実装していないPythonバージョン向けにpipが提供するtar展開のフォールバック実装における脆弱性であり、Pythonの'tarfile'モジュールに含まれるすべての脆弱性に対して安全であるわけではないためです。PEP 706を実装するPythonバージョンを使用している場合、pipは「脆弱な」フォールバックコードを使用しません。

軽減策としては、修正を含むバージョンのpipへのアップグレード、PEP 706を実装するPythonバージョン(Python >=3.9.17、>=3.10.12、>=3.11.4、または>=3.12)へのアップグレード、関連するパッチの適用、またはすでにベストプラクティスとなっているインストール前にソースディストリビューション(sdists)を検査することが挙げられます。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

PSF

予約する

2025年08月11日

モデレーション

承諾済み

エントリ

VDB-325721

EPSS

0.00438

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!