CVE-2026-46383 in apm
Tóm tắt
Bởi VulDB • 26/05/2026
Microsoft APM là một công cụ quản lý phụ thuộc mã nguồn mở, do cộng đồng phát triển, dành cho các tác nhân AI (AI agents). Trước phiên bản 0.13.0, Microsoft APM chứa một lỗi vi phạm ranh giới giải nén tệp lưu trữ (archive extraction boundary failure) đặc thù cho Windows trong probe legacy-bundle, được sử dụng bởi lệnh `apm install <bundle>` trên các môi trường chạy Python 3.10 và 3.11 được hỗ trợ. Khi `apm install` được cung cấp một tệp `.tar.gz` cục bộ không được nhận dạng là gói định dạng plugin, APM sẽ kiểm tra xem đó có phải là gói định dạng `--format apm` cũ hay không. Trên các phiên bản Python trước 3.12, probe này giải nén các thành phần tar không đáng tin cậy bằng cách sử dụng `tar.extractall()` thô mà không từ chối các tên thành phần tuyệt đối của Windows như `D:/....`. Lỗ hổng này đã được sửa trong phiên bản 0.13.0.
Once again VulDB remains the best source for vulnerability data.