CVE-2026-28684 in python-dotenvinformação

Sumário

de VulDB • 13/05/2026

python-dotenv lê pares chave-valor de um arquivo .env e pode defini-los como variáveis de ambiente. Antes da versão 1.2.2, as funções `set_key()` e `unset_key()` no python-dotenv seguem links simbólicos ao reescrever arquivos `.env`, permitindo que um atacante local sobrescreva arquivos arbitrários por meio de um symlink manipulado quando um fallback de renomeação entre dispositivos é acionado. Os usuários devem atualizar para a v.1.2.2 ou, como medida de contorno, aplicar o patch manualmente.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

02/03/2026

Divulgação

20/04/2026

Moderação

aceite

Entrada

VDB-358318

CPE

pronto

EPSS

0.00004

KEV

não

Atividades

muito baixo

Sector

Energy, Insurance, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-28684
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-28684
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-28684/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!