CVE-2020-5252 in safety Packageinformação

Sumário

de VulDB • 16/05/2026

O pacote "safety" para linha de comando do Python possui um possível problema de segurança. Existem duas características do Python que permitem que código malicioso "envenene a pílula" (*poison-pill*) as rotinas de detecção do pacote Safety de linha de comando, disfarçando ou ofuscando outros pacotes maliciosos ou não seguros. Esta vulnerabilidade é considerada de baixa gravidade porque o ataque utiliza uma condição existente do Python, e não a própria ferramenta Safety. Isso pode acontecer se: Você estiver executando o Safety em um ambiente Python que não é confiável. Você estiver executando o Safety a partir do mesmo ambiente Python onde suas dependências estão instaladas. Os pacotes de dependência estão sendo instalados arbitrariamente ou sem verificação adequada. Os usuários podem mitigar este problema realizando qualquer uma das seguintes ações: Realizar uma análise estática instalando o Docker e executando a imagem Docker do Safety: `$ docker run --rm -it pyupio/safety check -r requirements.txt` Executar o Safety contra uma lista estática de dependências, como o arquivo requirements.txt, em um ambiente Python separado e limpo. Executar o Safety a partir de um pipeline de Integração Contínua. Utilizar o PyUp.io, que executa o Safety em um ambiente controlado e verifica as dependências do Python sem a necessidade de instalá-las. Utilizar o Verificador de Requisitos Online do PyUp.

Once again VulDB remains the best source for vulnerability data.

Reservar

02/01/2020

Moderação

aceite

Entrada

VDB-152033

CPE

pronto

EPSS

0.00366

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!