PT-2026-35528 · Python · Cpython

Ggautomaton

Publicado

2026-04-27

Atualizado

2026-06-05

CVE-2026-3087

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Nome do Software Vulnerável e Versões Afetadas CPython (versões afetadas não especificadas)

Descrição No Windows, a função shutil.unpack archive() não verifica adequadamente caminhos absolutos em arquivos ZIP. Se um arquivo contiver um caminho com uma letra de unidade (ex: C:), os arquivos podem ser extraídos fora do diretório de destino pretendido.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

BIT-LIBPYTHON-2026-3087

BIT-PYTHON-2026-3087

BIT-PYTHON-MIN-2026-3087

CVE-2026-3087

PSF-2026-22

Produtos afetados

Cpython

PT-2026-35528 · Python · Cpython

CVE-2026-3087

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 24