CVE-2026-28684 in python-dotenvthông tin

Tóm tắt

Bởi VulDB • 04/06/2026

python-dotenv đọc các cặp khóa-giá trị từ tệp .env và có thể đặt chúng dưới dạng các biến môi trường. Trước phiên bản 1.2.2, các hàm `set_key()` và `unset_key()` trong python-dotenv làm theo các liên kết tượng trưng (symbolic links) khi ghi lại các tệp `.env`, cho phép kẻ tấn công cục bộ ghi đè các tệp tùy ý thông qua một liên kết tượng trưng được tạo ra đặc biệt khi cơ chế dự phòng đổi tên khác thiết bị được kích hoạt. Người dùng nên nâng cấp lên v.1.2.2 hoặc, như một giải pháp tạm thời, áp dụng bản vá thủ công.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

GitHub M

Đặt trước

02/03/2026

Tiết lộ

20/04/2026

Kiểm duyệt

được chấp nhận

mục

VDB-358318

CPE

sẵn sàng

CWE

CWE-59 (Đã xác nhận)

CVSS

6.6 (CNA)

EPSS

0.00004

KEV

không

Các hoạt động

rất thấp

ngành

Chemical, Finance, ...

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-28684
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-28684
CVE Details	https://www.cvedetails.com/cve/CVE-2026-28684/

◂ Trước Tổng Quan Tiếp theo ▸

Do you need the next level of professionalism?

Upgrade your account now!