CVE-2025-8869 in pip
요약
\~에 의해 VulDB • 2026. 06. 09.
tar 아카이브를 추출할 때, tarfile 모듈이 PEP 706을 구현하지 않는 경우 pip는 심볼릭 링크가 추출 디렉토리를 가리키는지 확인하지 않을 수 있습니다.
이 취약점에 대해 '수정된' 버전으로 pip를 업그레이드한다고 해서 PEP 706을 구현하는 Python 버전을 사용함으로써 해결되는 모든 알려진 취약점이 해결되는 것은 아님을 유의하십시오.
이 취약점은 PEP 706을 구현하지 않는 Python 버전에서 pip의 tar 추출 대체(fallback) 구현에 존재하므로, Python 'tarfile' 모듈의 모든 취약점에 대해 안전하지 않음을 유의하십시오. PEP 706을 구현하는 Python 버전을 사용하는 경우 pip는 '취약한' 대체 코드를 사용하지 않습니다.
완화 조치에는 수정 사항이 포함된 버전의 pip로 업그레이드하거나, PEP 706을 구현하는 Python 버전(Python >=3.9.17, >=3.10.12, >=3.11.4 또는 >=3.12)으로 업그레이드하거나, 연결된 패치를 적용하거나, 이미 모범 사례로 권장되는 대로 설치 전에 소스 배포판(sdists)을 검사하는 것이 포함됩니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.