CVE-2025-68146

Nome do Software Vulnerável e Versões Afetadas versões do filelock anteriores à 3.20.1

Descrição O filelock é um mecanismo de bloqueio de arquivos independente de plataforma para Python. Uma condição de corrida Time-of-Check-Time-of-Use (TOCTOU) permite que atacantes locais corrompam ou truncem arquivos arbitrários do usuário através de ataques via symlink. O problema existe na criação do bloqueio de arquivo, onde o software verifica a existência do arquivo antes de abri-lo com O TRUNC. Um atacante pode criar um symlink apontando para um arquivo da vítima entre a verificação e a abertura, fazendo com que o sistema siga o symlink e trunque o arquivo de destino. Isso afeta usuários em sistemas Unix, Linux, macOS e Windows. O ataque requer acesso local ao sistema de arquivos e a capacidade de criar symlinks. A exploração pode ser bem-sucedida em 1 a 3 tentativas quando os caminhos dos arquivos de lock são previsíveis.

Recomendações Atualize para a versão 3.20.1. Se a atualização imediata não for possível, use SoftFileLock em vez de UnixFileLock/WindowsFileLock. Garanta que os diretórios dos arquivos de lock tenham permissões restritivas (chmod 0700) para impedir que usuários não confiáveis criem symlinks. Monitore os diretórios dos arquivos de lock em busca de symlinks suspeitos antes de executar aplicativos confiáveis.