CVE-2020-5252

safety (versões afetadas não especificadas)

O pacote de linha de comando “safety” para Python apresenta um possível problema de segurança devido a duas características do Python que permitem que código malicioso disfarce ou ofusque outros pacotes maliciosos ou não seguros. Esta vulnerabilidade é considerada de baixa gravidade, pois se aproveita de uma condição existente no Python, e não da ferramenta Safety em si. Ela pode ocorrer ao executar o Safety em um ambiente Python não confiável, a partir do mesmo ambiente onde as dependências estão instaladas, ou ao instalar dependências de forma arbitrária ou sem a devida verificação.

Para mitigar essa vulnerabilidade, execute uma análise estática instalando o Docker e executando a imagem do Safety no Docker: $ docker run --rm -it pyupio/safety check -r requirements.txt

Execute o Safety em uma lista estática de dependências, como o arquivo requirements.txt, em um ambiente Python separado e limpo.

Execute o Safety a partir de um pipeline de integração contínua.

Use o PyUp.io, que executa o Safety em um ambiente controlado e verifica as dependências do Python sem a necessidade de instalá-las.

Use o Verificador de Requisitos Online do PyUp.