CVE-2026-34591

Name of the Vulnerable Software and Affected Versions Poetry versões 1.4.0 através de 2.3.2

Description Poetry, um gerenciador de dependências para Python, contém uma falha de travessia de caminho. Um arquivo wheel malicioso pode incluir caminhos '..' que o Poetry grava em disco sem verificações de contenção adequadas. Isso permite a gravação arbitrária de arquivos com as permissões do processo Poetry, impactando potencialmente usuários, sistemas CI/CD e instalações de pacotes maliciosos ou comprometidos. O problema é alcançável durante fluxos normais de instalação a partir de artefatos de pacotes não confiáveis. A vulnerabilidade ocorre porque o Poetry junta diretamente um caminho de entrada de wheel não confiável sem impor uma proteção de estilo resolve() ou is relative to() antes de gravar.

Recommendations Atualize para a versão 2.3.3 ou posterior do Poetry.