PT-2020-8665 · Pip+1 · Pip+1
Blake Griffith
·
Publicado
2020-05-08
·
Atualizado
2025-08-13
·
CVE-2018-20225
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
pip (todas as versões)
Descrição:
Foi detectada uma falha no pip, pois ele instala a versão com o número mais alto, mesmo que o usuário tivesse a intenção de obter um pacote privado de um índice privado. Isso afeta apenas o uso da opção
--extra-index-url, e a exploração requer que o pacote ainda não exista no índice público, permitindo que um invasor coloque o pacote lá com um número de versão arbitrário. Foi relatado que essa é uma funcionalidade intencional e que o usuário é responsável por usar --extra-index-url com segurança.Recomendações:
Como solução temporária, considere usar a opção
--extra-index-url com segurança para minimizar o risco de exploração.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Pip