CVE-2020-5252 in safety Package
Tóm tắt
Bởi VulDB • 28/05/2026
Gói "safety" dành cho dòng lệnh Python có một vấn đề bảo mật tiềm ẩn. Có hai đặc điểm của Python cho phép mã độc thực hiện chiến lược "poison-pill" (viên thuốc độc) nhằm đánh lừa hoặc làm nhiễu các quy trình phát hiện của gói Safety trên dòng lệnh bằng cách ngụy trang hoặc làm mờ các gói khác độc hại hoặc không an toàn. Lỗ hổng này được coi là có mức độ nghiêm trọng thấp vì cuộc tấn công khai thác một điều kiện hiện có của Python, chứ không phải bản thân công cụ Safety. Điều này có thể xảy ra nếu: Bạn đang chạy Safety trong một môi trường Python mà bạn không tin tưởng. Bạn đang chạy Safety từ cùng một môi trường Python nơi các phụ thuộc của bạn được cài đặt. Các gói phụ thuộc đang được cài đặt một cách tùy tiện hoặc mà không có xác minh thích hợp. Người dùng có thể giảm thiểu vấn đề này bằng cách thực hiện một trong các biện pháp sau: Thực hiện phân tích tĩnh bằng cách cài đặt Docker và chạy hình ảnh Docker của Safety: $ docker run --rm -it pyupio/safety check -r requirements.txt Chạy Safety đối với một danh sách phụ thuộc tĩnh, chẳng hạn như tệp requirements.txt, trong một môi trường Python riêng biệt và sạch sẽ. Chạy Safety từ một quy trình tích hợp liên tục (Continuous Integration pipeline). Sử dụng PyUp.io, chạy Safety trong một môi trường được kiểm soát và kiểm tra Python cho các phụ thuộc mà không cần cài đặt chúng. Sử dụng Trình kiểm tra Yêu cầu Trực tuyến của PyUp.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.