CVE-2022-21668

Versões do pipenv de 2018.10.9 a 2022.1.8

Uma falha na análise de arquivos de requisitos pelo pipenv permite que um invasor insira uma string especialmente criada dentro de um comentário em qualquer ponto do arquivo requirements.txt. Isso fará com que as vítimas que usam o pipenv para instalar o arquivo de requisitos baixem dependências de um servidor de índice de pacotes controlado pelo invasor. Ao incorporar código malicioso em pacotes servidos a partir de seu servidor de índice malicioso, o invasor pode desencadear a execução remota de código (RCE) arbitrária nos sistemas das vítimas. Se um invasor conseguir ocultar uma opção maliciosa --index-url em um arquivo de requisitos que a vítima instale com o pipenv, ele poderá incorporar código malicioso arbitrário em pacotes servidos a partir de seu servidor de índice malicioso, que serão executados no host da vítima durante a instalação. O impacto de uma exploração bem-sucedida é grave, e a probabilidade geral de exploração é baixa a moderada.

Para as versões 2018.10.9 a 2022.1.8, atualize para a versão 2022.1.8 para resolver o problema.

Como solução alternativa temporária, considere desativar o uso de comentários nos arquivos de requisitos ou restringir o acesso à opção --index-url até que um patch esteja disponível.

Evite usar a opção --index-url no endpoint da API afetado até que o problema seja resolvido.

Restrinja o acesso ao arquivo setup.py para minimizar o risco de exploração.

Considere implementar medidas de segurança adicionais