PT-2026-2252 · Unknown+1 · Virtualenv+1

Tsigouris007

·

Publicado

2026-01-01

·

Atualizado

2026-06-03

·

CVE-2026-22702

CVSS v3.1

4.5

Média

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas virtualenv versões anteriores a 20.36.1
Descrição virtualenv é uma ferramenta para criar ambientes virtuais Python isolados. Antes da versão 20.36.1, existem vulnerabilidades de Tempo de Verificação-Tempo de Uso (TOCTOU) no virtualenv que permitem que atacantes locais realizem ataques baseados em symlinks em operações de criação de diretórios. Um atacante com acesso local pode explorar uma condição de corrida entre verificações de existência de diretório e sua criação para redirecionar as operações de app data e arquivos de bloqueio do virtualenv para locais controlados pelo atacante. A vulnerabilidade afeta as operações de criação de diretório.
Recomendações Atualize o virtualenv para a versão 20.36.1 ou posterior.

Exploit

Correção

Link Following

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-59CWE-362

Identificadores relacionados

AZL-74210
AZL-74237
BIT-VIRTUALENV-2026-22702
CVE-2026-22702
GHSA-597G-3PHW-6986
OPENSUSE-SU-2026:10055-1
OPENSUSE-SU-2026:20086-1
SUSE-SU-2026:0233-1
SUSE-SU-2026:20129-1

Produtos afetados

Debian
Virtualenv