PT-2026-60172 · Pypi · Cornac
Rahul Karne
+1
·
Publicado
2026-07-15
·
Atualizado
2026-07-15
·
CVE-2026-43637
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Cornac versões anteriores a 2.6.0
Description
Um problema de traversal de caminho, especificamente um Tar Slip, ocorre quando a função
extract archive() em cornac/utils/download.py processa um arquivo TAR manipulado. Ao utilizar caminhos absolutos, entradas de symlink/hardlink ou sequências ../, um invasor pode fazer com que o archive.extractall() escreva arquivos arbitrários fora do diretório de cache pretendido em qualquer local do sistema de arquivos acessível ao processo em execução. Isso pode ser acionado por meio de carregadores de conjuntos de dados integrados que baixam e extraem arquivos automaticamente.Recommendations
Atualize para a versão 2.6.0 ou posterior.
Como mitigação temporária, restrinja o uso da função
extract archive() ou evite usar carregadores de conjuntos de dados integrados com arquivos não confiáveis.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cornac