Pip · Pip · CVE-2018-20225
**Nome do software vulnerável e versões afetadas:
pip (todas as versões)
Descrição:
Foi detectada uma falha no pip, pois ele instala a versão com o número mais alto, mesmo que o usuário tivesse a intenção de obter um pacote privado de um índice privado. Isso afeta apenas o uso da opção `--extra-index-url`, e a exploração requer que o pacote ainda não exista no índice público, permitindo que um invasor coloque o pacote lá com um número de versão arbitrário. Foi relatado que essa é uma funcionalidade intencional e que o usuário é responsável por usar `--extra-index-url` com segurança.
Recomendações:
Como solução temporária, considere usar a opção `--extra-index-url` com segurança para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.