CVE-2026-42301

Nome do Software Vulnerável e Versões Afetadas pyp2spec versões anteriores a 0.14.1

Descrição O pyp2spec grava metadados de pacotes PyPI, como o campo de resumo, em arquivos spec gerados sem escapar as diretivas de macro do RPM. Quando um empacotador utiliza ferramentas como rpmbuild -bs, rpmbuild --nobuild ou rpm -q --specfile, essas diretivas são avaliadas, permitindo que um pacote malicioso execute comandos arbitrários na máquina de build. Essa execução ocorre durante a análise do spec, o que significa que um build completo não é necessário para a комprometimento. Vetores de ataque potenciais incluem typosquatting ou o direcionamento de pacotes sob revisão do Fedora, o que poderia levar ao comprometimento de credenciais sensíveis, como chaves SSH do dist-git, credenciais de build do Koji e credenciais de atualização do Bodhi.

Recomendações Atualize para a versão 0.14.1.