CVE-2026-25645 in requestsinformação

Sumário

de VulDB • 15/05/2026

Requests é uma biblioteca HTTP. Antes da versão 2.33.0, a função utilitária `requests.utils.extract_zipped_paths()` utiliza um nome de arquivo previsível ao extrair arquivos de arquivos zip para o diretório temporário do sistema. Se o arquivo de destino já existir, ele será reutilizado sem validação. Um atacante local com acesso de gravação no diretório temporário poderia pré-criar um arquivo malicioso que seria carregado no lugar do arquivo legítimo. O uso padrão da biblioteca Requests não é afetado por esta vulnerabilidade. Apenas aplicativos que chamam `extract_zipped_paths()` diretamente são impactados. A partir da versão 2.33.0, a biblioteca extrai arquivos para um local não determinístico. Se os desenvolvedores não puderem atualizar, podem definir `TMPDIR` em seu ambiente para um diretório com acesso de gravação restrito.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

04/02/2026

Divulgação

25/03/2026

Moderação

aceite

Entrada

VDB-353275

CPE

pronto

EPSS

0.00005

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-25645
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-25645
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-25645/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!