PT-2026-2251 · Pypi+3 · Filelock+3

George Tsigourakos

+1

·

Publicado

2026-01-01

·

Atualizado

2026-06-03

·

CVE-2026-22701

CVSS v3.1

5.3

Média

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do filelock anteriores a 3.20.3
Descrição Existe uma condição de corrida na implementação do SoftFileLock do pacote filelock. Um atacante com acesso ao sistema de arquivos local e permissão para criar symlinks pode explorar uma discrepância de tempo entre a validação de permissões e a criação do arquivo. Essa condição de corrida ocorre no método acquire() entre raise on not writable file() e os.open(). Um atacante pode criar um symlink no caminho do arquivo de lock, possivelmente fazendo com que o lock opere em um arquivo alvo não pretendido ou levando a uma negação de serviço.
Recomendações Atualize para a versão 3.20.3 ou superior do filelock.

Exploit

Correção

DoS

Race Condition

Link Following

Time Of Check To Time Of Use

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362CWE-59CWE-367

Identificadores relacionados

AZL-74234
AZL-79235
CVE-2026-22701
GHSA-QMGC-5H2G-MVRW
OESA-2026-1237
OESA-2026-1238
OESA-2026-1239
OESA-2026-1240
OPENSUSE-SU-2026:10043-1
OPENSUSE-SU-2026:20144-1
SUSE-SU-2026:0220-1
SUSE-SU-2026:0335-1
SUSE-SU-2026:20216-1
USN-7999-1

Produtos afetados

Debian
Linuxmint
Ubuntu
Filelock