CVE-2026-28684

Name of the Vulnerable Software and Affected Versions python-dotenv versões anteriores a 1.2.2

Description As funções set key() e unset key() no python-dotenv seguem links simbólicos ao reescrever arquivos .env. Isso ocorre quando o gerenciador de contexto rewrite() em dotenv/main.py grava em um arquivo temporário no diretório padrão do sistema e tenta movê-lo para o local de destino usando shutil.move(). Se o destino for um link simbólico e o diretório temporário estiver em um sistema de arquivos diferente, o shutil.move() recorre ao shutil.copy2(), que segue links simbólicos por padrão. Um invasor local com acesso de gravação ao diretório que contém o arquivo .env pode criar um link simbólico manipulado para sobrescrever arquivos arbitrários que o processo da aplicação tenha permissão para modificar, levando potencialmente a violações de integridade, negação de serviço ou escalonamento de privilégios.

Recommendations Atualizar para a versão 1.2.2.