CVE-2025-14009

Nome do Software Vulnerável e Versões Afetadas nltk/nltk (versões afetadas não especificadas)

Descrição Existe um problema crítico no componente de download do NLTK. A função unzip iter dentro de nltk/downloader.py utiliza zipfile.extractall() sem validar caminhos de arquivos ou implementar verificações de segurança. Isso permite que atacantes criem pacotes zip maliciosos que, quando baixados e extraídos pelo NLTK, podem executar código arbitrário. A vulnerabilidade ocorre porque o NLTK confia em todos os pacotes baixados e os extrai sem validação. Se um pacote malicioso contiver arquivos Python, como init .py, esses arquivos são executados automaticamente no momento da importação, potencialmente levando à execução remota de código e comprometimento total do sistema, incluindo acesso ao sistema de arquivos, acesso à rede e potencial persistência.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.