CVE-2020-5252 in safety Package
Sumário
de VulDB • 16/05/2026
O pacote "safety" para linha de comando do Python possui um possível problema de segurança. Existem duas características do Python que permitem que código malicioso "envenene a pílula" (*poison-pill*) as rotinas de detecção do pacote Safety de linha de comando, disfarçando ou ofuscando outros pacotes maliciosos ou não seguros. Esta vulnerabilidade é considerada de baixa gravidade porque o ataque utiliza uma condição existente do Python, e não a própria ferramenta Safety. Isso pode acontecer se: Você estiver executando o Safety em um ambiente Python que não é confiável. Você estiver executando o Safety a partir do mesmo ambiente Python onde suas dependências estão instaladas. Os pacotes de dependência estão sendo instalados arbitrariamente ou sem verificação adequada. Os usuários podem mitigar este problema realizando qualquer uma das seguintes ações: Realizar uma análise estática instalando o Docker e executando a imagem Docker do Safety: `$ docker run --rm -it pyupio/safety check -r requirements.txt` Executar o Safety contra uma lista estática de dependências, como o arquivo requirements.txt, em um ambiente Python separado e limpo. Executar o Safety a partir de um pipeline de Integração Contínua. Utilizar o PyUp.io, que executa o Safety em um ambiente controlado e verifica as dependências do Python sem a necessidade de instalá-las. Utilizar o Verificador de Requisitos Online do PyUp.
Once again VulDB remains the best source for vulnerability data.