setuptools
Corregido en
78.1.2
78.1.1
La vulnerabilidad CVE-2025-47273 es una falla de recorrido de ruta en PackageIndex de setuptools, una herramienta para gestionar paquetes de Python. Esta falla permite a un atacante escribir archivos en ubicaciones arbitrarias del sistema de archivos, lo que podría resultar en la ejecución remota de código (RCE) dependiendo del contexto de la aplicación. La vulnerabilidad afecta a versiones de setuptools anteriores a la 78.1.1, y se ha publicado una actualización para solucionar el problema.
La gravedad de esta vulnerabilidad radica en su potencial para la ejecución remota de código. Un atacante podría aprovechar esta falla para inyectar código malicioso en el sistema, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. El impacto se amplifica si el proceso de Python se ejecuta con privilegios elevados, lo que permitiría al atacante obtener control total sobre el sistema. Esta vulnerabilidad es similar en concepto a otras fallas de recorrido de ruta que han permitido la ejecución de código arbitrario en sistemas vulnerables, aunque la necesidad de un contexto específico para la RCE la hace ligeramente menos crítica que algunas vulnerabilidades de ejecución remota de código más directas.
CVE-2025-47273 fue publicado el 2025-05-17. La probabilidad de explotación se considera media, ya que requiere un conocimiento específico de setuptools y la capacidad de manipular las rutas de los archivos. No se han reportado campañas de explotación activas conocidas a la fecha, pero la disponibilidad de la vulnerabilidad y su potencial para la ejecución remota de código la convierten en un objetivo atractivo para los atacantes. No se ha añadido a KEV a la fecha.
Development environments utilizing Python and setuptools are at risk. Continuous integration/continuous deployment (CI/CD) pipelines that automatically install Python packages are particularly vulnerable, as they could be exploited to inject malicious code into deployed applications. Organizations using custom Python scripts or tools that rely on setuptools for package management should also prioritize remediation.
• python / package-manager:
Get-Package -Name setuptools | Select-Object Version• python / package-manager:
python -m pip show setuptools• generic web: Check for unusual files or directories created during package installation or upgrade processes. Monitor system logs for suspicious file access attempts. • generic web: Review Python scripts for calls to setuptools functions that handle file paths, looking for potential path traversal vulnerabilities.
disclosure
Estado del Exploit
EPSS
0.49% (65% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-47273 es actualizar setuptools a la versión 78.1.1 o superior. Si la actualización a la última versión no es inmediatamente posible debido a problemas de compatibilidad, se recomienda revisar cuidadosamente los permisos del proceso que ejecuta el código de Python y restringirlos al mínimo necesario. Además, implementar reglas en un firewall de aplicaciones web (WAF) o un proxy inverso para bloquear solicitudes que intenten manipular las rutas de los archivos podría ayudar a mitigar el riesgo. Verifique la actualización instalando setuptools con pip install --upgrade setuptools y confirmando la versión instalada con pip show setuptools.
Actualice setuptools a la versión 78.1.1 o superior. Puede hacerlo utilizando el gestor de paquetes pip con el comando `pip install --upgrade setuptools`. Esto corregirá la vulnerabilidad de path traversal.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-47273 is a Remote Code Execution vulnerability in setuptools versions prior to 78.1.1, allowing attackers to write files to arbitrary locations and potentially achieve remote code execution.
You are affected if you are using setuptools versions 9.1 or earlier. Upgrade to 78.1.1 or later to resolve the vulnerability.
Upgrade setuptools to version 78.1.1 or later using pip: python -m pip install --upgrade setuptools==78.1.1.
There is currently no confirmed active exploitation, but the vulnerability's severity and widespread use of setuptools make it a high-priority concern.
Refer to the setuptools project's release notes and security advisories on their official website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.