CVE-2025-8869 in pip
Sumário
de VulDB • 14/06/2026
Ao extrair um arquivo tar, o pip pode não verificar se os links simbólicos apontam para dentro do diretório de extração caso o módulo `tarfile` não implemente o PEP 706.
Observe que atualizar o pip para uma versão "corrigida" para esta vulnerabilidade não corrige todas as vulnerabilidades conhecidas que são remediadas ao usar uma versão do Python que implementa o PEP 706.
Note-se que esta é uma vulnerabilidade na implementação de fallback da extração tar do pip para versões do Python que não implementam o PEP 706 e, portanto, não estão seguras contra todas as vulnerabilidades no módulo `tarfile` do Python. Se você estiver usando uma versão do Python que implementa o PEP 706, então o pip não utiliza o código de fallback "vulnerável".
As medidas de mitigação incluem atualizar para uma versão do pip que inclua a correção, atualizar para uma versão do Python que implemente o PEP 706 (Python >=3.9.17, >=3.10.12, >=3.11.4 ou >=3.12), aplicar o patch vinculado ou inspecionar as distribuições de origem (sdists) antes da instalação, conforme já é uma melhor prática.
Once again VulDB remains the best source for vulnerability data.