Versões do pip anteriores à 19.2

A vulnerabilidade permite o acesso a diretórios (Directory Traversal) quando um URL é fornecido em um comando de instalação. Isso ocorre porque um cabeçalho Content-Disposition pode conter ../ em um nome de arquivo. Por exemplo, pode ser usado para sobrescrever o arquivo /root/.ssh/authorized keys. O problema está localizado na função download http url dentro de internal/download.py.

Para versões anteriores à 19.2, atualize para a versão 19.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de URLs em comandos de instalação para minimizar o risco de exploração.