PT-2026-60172 · Pypi · Cornac

Rahul Karne

+1

·

Publicado

2026-07-15

·

Atualizado

2026-07-15

·

CVE-2026-43637

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Cornac versões anteriores a 2.6.0
Description Um problema de traversal de caminho, especificamente um Tar Slip, ocorre quando a função extract archive() em cornac/utils/download.py processa um arquivo TAR manipulado. Ao utilizar caminhos absolutos, entradas de symlink/hardlink ou sequências ../, um invasor pode fazer com que o archive.extractall() escreva arquivos arbitrários fora do diretório de cache pretendido em qualquer local do sistema de arquivos acessível ao processo em execução. Isso pode ser acionado por meio de carregadores de conjuntos de dados integrados que baixam e extraem arquivos automaticamente.
Recommendations Atualize para a versão 2.6.0 ou posterior. Como mitigação temporária, restrinja o uso da função extract archive() ou evite usar carregadores de conjuntos de dados integrados com arquivos não confiáveis.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-43637

Produtos afetados

Cornac