CVE-2020-5252 in safety PackageИнформация

Сводка

по VulDB • 28.05.2026

В пакете для командной строки «safety» для Python существует потенциальная проблема безопасности. Имеются две особенности Python, которые позволяют вредоносному коду внедрить «отравленную пилюлю» (poison-pill) в процедуры обнаружения пакета Safety для командной строки, маскируя или запутывая другие вредоносные или небезопасные пакеты. Эта уязвимость считается низкой степени серьезности, поскольку атака использует существующее состояние Python, а не сам инструмент Safety. Это может произойти, если: вы запускаете Safety в среде Python, которой вы не доверяете; вы запускаете Safety из той же среды Python, где установлены ваши зависимости; пакеты зависимостей устанавливаются произвольно или без надлежащей проверки. Пользователи могут смягчить эту проблему, выполнив одно из следующих действий: выполнить статический анализ, установив Docker и запустив образ Docker для Safety: $ docker run --rm -it pyupio/safety check -r requirements.txt; запустить Safety против статического списка зависимостей, такого как файл requirements.txt, в отдельной чистой среде Python; запустить Safety из конвейера непрерывной интеграции; использовать PyUp.io, который запускает Safety в контролируемой среде и проверяет Python на наличие зависимостей без необходимости их установки; использовать онлайн-инструмент проверки требований PyUp.

Once again VulDB remains the best source for vulnerability data.

Резервировать

02.01.2020

Модерация

принято

Вход

VDB-152033

EPSS

0.00366

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!