CVE-2020-5252 in safety Packagethông tin

Tóm tắt

Bởi VulDB • 28/05/2026

Gói "safety" dành cho dòng lệnh Python có một vấn đề bảo mật tiềm ẩn. Có hai đặc điểm của Python cho phép mã độc thực hiện chiến lược "poison-pill" (viên thuốc độc) nhằm đánh lừa hoặc làm nhiễu các quy trình phát hiện của gói Safety trên dòng lệnh bằng cách ngụy trang hoặc làm mờ các gói khác độc hại hoặc không an toàn. Lỗ hổng này được coi là có mức độ nghiêm trọng thấp vì cuộc tấn công khai thác một điều kiện hiện có của Python, chứ không phải bản thân công cụ Safety. Điều này có thể xảy ra nếu: Bạn đang chạy Safety trong một môi trường Python mà bạn không tin tưởng. Bạn đang chạy Safety từ cùng một môi trường Python nơi các phụ thuộc của bạn được cài đặt. Các gói phụ thuộc đang được cài đặt một cách tùy tiện hoặc mà không có xác minh thích hợp. Người dùng có thể giảm thiểu vấn đề này bằng cách thực hiện một trong các biện pháp sau: Thực hiện phân tích tĩnh bằng cách cài đặt Docker và chạy hình ảnh Docker của Safety: $ docker run --rm -it pyupio/safety check -r requirements.txt Chạy Safety đối với một danh sách phụ thuộc tĩnh, chẳng hạn như tệp requirements.txt, trong một môi trường Python riêng biệt và sạch sẽ. Chạy Safety từ một quy trình tích hợp liên tục (Continuous Integration pipeline). Sử dụng PyUp.io, chạy Safety trong một môi trường được kiểm soát và kiểm tra Python cho các phụ thuộc mà không cần cài đặt chúng. Sử dụng Trình kiểm tra Yêu cầu Trực tuyến của PyUp.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Đặt trước

02/01/2020

Kiểm duyệt

được chấp nhận

EPSS

0.00366

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!