Pipenv · Pipenv · CVE-2022-21668
**Nome do software vulnerável e versões afetadas**
Versões do pipenv de 2018.10.9 a 2022.1.8
**Descrição**
Uma falha na análise de arquivos de requisitos pelo pipenv permite que um invasor insira uma string especialmente criada dentro de um comentário em qualquer ponto do arquivo requirements.txt. Isso fará com que as vítimas que usam o pipenv para instalar o arquivo de requisitos baixem dependências de um servidor de índice de pacotes controlado pelo invasor. Ao incorporar código malicioso em pacotes servidos a partir de seu servidor de índice malicioso, o invasor pode desencadear a execução remota de código (RCE) arbitrária nos sistemas das vítimas. Se um invasor conseguir ocultar uma opção maliciosa `--index-url` em um arquivo de requisitos que a vítima instale com o pipenv, ele poderá incorporar código malicioso arbitrário em pacotes servidos a partir de seu servidor de índice malicioso, que serão executados no host da vítima durante a instalação. O impacto de uma exploração bem-sucedida é grave, e a probabilidade geral de exploração é baixa a moderada.
**Recomendações**
Para as versões 2018.10.9 a 2022.1.8, atualize para a versão 2022.1.8 para resolver o problema.
Como solução alternativa temporária, considere desativar o uso de comentários nos arquivos de requisitos ou restringir o acesso à opção `--index-url` até que um patch esteja disponível.
Evite usar a opção `--index-url` no endpoint da API afetado até que o problema seja resolvido.
Restrinja o acesso ao arquivo `setup.py` para minimizar o risco de exploração.
Considere implementar medidas de segurança adicionais