CVE-2025-54368

Nome do Software Vulnerável e Versões Afetadas Versões do uv 0.8.5 e anteriores

Descrição O uv é um gerenciador de pacotes e projetos Python escrito em Rust. As versões 0.8.5 e anteriores processavam arquivos ZIP remotos em fluxo, sem reconciliar as entradas de arquivo com o diretório central do arquivo. Isso permitia que um atacante criasse um arquivo ZIP que extraísse conteúdo legítimo em alguns instaladores de pacotes e conteúdo malicioso em outros, ou uma entrada ZIP "empilhada" com múltiplos ZIPs internos, que seria tratada de maneira diferente por diferentes instaladores de pacotes. Isso poderia ser usado para visar instaladores específicos.

Recomendações As versões do uv anteriores à 0.8.6 devem ser atualizadas. Como solução alternativa, defina a variável de ambiente UV INSECURE NO ZIP VALIDATION para 1 para reverter ao comportamento anterior.