CVE-2026-12003

Nome do Software Vulnerável e Versões Afetadas Python (versões afetadas não especificadas)

Description No Windows, o Python utiliza a variável VPATH para localizar marcos, como 'Modules/setup.local', para determinar se está a ser executado numa árvore de origem e ajustar o sys.path padrão. Em certas configurações, especificamente com o instalador EXE legado, o valor de VPATH '....' resulta num caminho de marco fora do diretório de instalação. Como o Windows pode permitir que utilizadores de baixos privilégios criem pastas no diretório raiz da unidade do SO, um atacante poderia criar o marco e uma pasta Lib alternativa. Isto permite que a instalação restrita descubra e carregue ficheiros não autorizados, levando potencialmente a uma escalada de privilégios.

Recommendations Migrar do instalador legado para o gestor de instalação do Python para realizar uma instalação por utilizador. Criar preventivamente e restringir o acesso a um diretório Modules.