Plataforma
python
Componente
pyinstaller
Corregido en
6.0.1
6.0.0
Esta vulnerabilidad de elevación de privilegios afecta a las aplicaciones construidas con PyInstaller en versiones anteriores a 6.0.0. Un atacante no privilegiado puede engañar a la aplicación para que ejecute código Python arbitrario mediante la manipulación de sys.path durante el proceso de inicio. La vulnerabilidad se ha publicado el 10 de septiembre de 2025 y se corrige en la versión 6.0.0.
La explotación exitosa de esta vulnerabilidad permite a un atacante ejecutar código Python arbitrario con los privilegios de la aplicación PyInstaller. Esto podría resultar en la toma de control completa del sistema, robo de datos sensibles o la instalación de malware. El ataque requiere que la aplicación se construya con PyInstaller < 6.0.0, que la característica de encriptación de bytecode opcional esté habilitada y que el atacante pueda manipular la ruta de inicio de la aplicación. La gravedad de este fallo radica en su potencial para escalar privilegios, permitiendo a un usuario no autorizado obtener acceso a recursos y funcionalidades restringidas.
Esta vulnerabilidad no se ha añadido al KEV de CISA. La probabilidad de explotación es considerada como media debido a la complejidad del ataque y la necesidad de condiciones específicas. No se han publicado pruebas de concepto (PoC) públicas, pero la descripción de la vulnerabilidad proporciona suficiente información para que los atacantes puedan desarrollar sus propias herramientas de explotación. La publicación de la vulnerabilidad fue el 10 de septiembre de 2025.
Organizations and developers using PyInstaller to package Python applications, particularly those utilizing the optional bytecode encryption feature and running versions prior to 6.0.0, are at risk. This includes those deploying applications in environments with limited user privileges, as the vulnerability allows for privilege escalation.
• python / supply-chain:
import sys
print(sys.path)• python / supply-chain:
Get-Process -Name python | Select-Object -ExpandProperty CommandLine• python / supply-chain:
ps aux | grep pythondisclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
La mitigación principal es actualizar PyInstaller a la versión 6.0.0 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente el código fuente de las aplicaciones PyInstaller para identificar posibles puntos de entrada de ataque. Además, se pueden implementar medidas de seguridad adicionales, como la restricción de los privilegios de la aplicación y la implementación de controles de acceso estrictos. Después de la actualización, confirme la mitigación ejecutando la aplicación con diferentes entradas y verificando que no se ejecute código no autorizado.
Actualice PyInstaller a la versión 6.0.0 o superior. Si la actualización no es posible, asegúrese de que los directorios que contienen ejecutables sensibles a la seguridad tengan los permisos adecuados para mitigar el problema. Considere también la posibilidad de no usar la característica de cifrado de bytecode.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59042 is a vulnerability in PyInstaller versions up to 5.9.0 that allows an attacker to execute arbitrary code by manipulating the application's startup path. It's rated HIGH severity.
You are affected if you are using PyInstaller versions 5.9.0 or earlier and have enabled the optional bytecode encryption feature. Check your PyInstaller version and update if necessary.
Upgrade to PyInstaller version 6.0.0 or later to resolve the vulnerability. If upgrading isn't possible immediately, consider disabling the optional bytecode encryption feature as a temporary workaround.
No public exploits are currently known, but the vulnerability's potential impact suggests a risk of future exploitation. Monitor your systems and apply the fix promptly.
Refer to the official PyInstaller project website and security advisories for the latest information and updates regarding CVE-2025-59042.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.