Plataforma
python
Componente
copier
Corregido en
9.9.2
9.9.1
El CVE-2025-55201 describe una vulnerabilidad de Acceso Arbitrario de Archivos en Copier, una herramienta de Python. Esta vulnerabilidad permite a un atacante leer archivos fuera del árbol de plantillas esperado, comprometiendo potencialmente la confidencialidad de datos sensibles. Afecta a las versiones de Copier anteriores o iguales a 9.9.0, y se ha solucionado en la versión 9.9.1.
La vulnerabilidad de Acceso Arbitrario de Archivos en Copier permite a un atacante leer archivos en el sistema de archivos del servidor donde se ejecuta Copier. Esto podría incluir archivos de configuración, claves API, o incluso código fuente. Un atacante podría explotar esta vulnerabilidad para obtener información confidencial, modificar archivos, o incluso ejecutar código malicioso en el servidor. La seguridad de Copier depende de la restricción de acceso al sistema de archivos a través de Jinja, pero el uso de extensiones Jinja personalizadas puede eludir estas restricciones, permitiendo el acceso a archivos arbitrarios. La falta de validación adecuada de las rutas de los archivos incluidos en las plantillas es la causa principal de esta vulnerabilidad.
La vulnerabilidad CVE-2025-55201 fue publicada el 18 de agosto de 2025. No se ha añadido al KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (Acceso Arbitrario de Archivos) la convierte en un objetivo atractivo para los atacantes. La probabilidad de explotación se considera moderada, dada la disponibilidad de la herramienta Copier y la relativa facilidad con la que se puede explotar la vulnerabilidad.
Organizations and developers using Copier for project generation, particularly those relying on custom Jinja extensions or templates from untrusted sources, are at risk. Shared hosting environments where multiple users utilize Copier could also be vulnerable if templates are not properly isolated.
• python / project-generator:
import os
import subprocess
def check_copier_version():
try:
result = subprocess.run(['copier', '--version'], capture_output=True, text=True, check=True)
version = result.stdout.strip()
if version <= '9.9.0':
print(f"Copier version is vulnerable: {version}")
else:
print(f"Copier version is patched: {version}")
except FileNotFoundError:
print("Copier is not installed.")
except subprocess.CalledProcessError as e:
print(f"Error checking Copier version: {e}")
check_copier_version()• generic web: Check Copier configuration files for references to custom Jinja extensions or potentially unsafe template features.
disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
La solución principal para mitigar el CVE-2025-55201 es actualizar Copier a la versión 9.9.1 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar el uso de plantillas que utilicen características inseguras, como extensiones Jinja personalizadas. Además, se debe revisar y auditar las plantillas existentes para identificar y eliminar cualquier código que pueda permitir el acceso a archivos arbitrarios. Implementar controles de acceso más estrictos al sistema de archivos del servidor también puede ayudar a reducir el riesgo. Después de la actualización, confirmar que la vulnerabilidad ha sido resuelta verificando que no se pueden leer archivos fuera del árbol de plantillas esperado.
Actualice la biblioteca Copier a la versión 9.9.1 o superior. Esto solucionará la vulnerabilidad de lectura/escritura arbitraria de archivos. Puede actualizar usando `pip install --upgrade copier`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-55201 is a HIGH severity vulnerability in Copier versions ≤9.9.0 that allows attackers to bypass Jinja template restrictions and read arbitrary files.
You are affected if you are using Copier version 9.9.0 or earlier. Upgrade to version 9.9.1 to mitigate the vulnerability.
Upgrade to Copier version 9.9.1. As a temporary workaround, restrict template sources and disable unsafe Jinja features.
There are currently no reports of active exploitation, but the vulnerability is publicly known.
Refer to the Copier project's official documentation and release notes for updates and advisories regarding CVE-2025-55201.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.