Plataforma
python
Componente
pip
Corregido en
26.0
26.0
El CVE-2026-1703 describe una vulnerabilidad de Path Traversal en el gestor de paquetes pip, que afecta a versiones 9.0.3 y anteriores. Esta vulnerabilidad permite a un atacante, al instalar un archivo wheel malicioso, extraer archivos fuera del directorio de instalación. Aunque el impacto se limita a la manipulación de archivos dentro del directorio de instalación, representa un riesgo de seguridad. La solución recomendada es actualizar a la versión 26.0 de pip.
Un atacante podría aprovechar esta vulnerabilidad creando un archivo wheel malicioso que, al ser instalado con pip, extraiga archivos fuera del directorio de instalación previsto. Si bien la vulnerabilidad no permite la inyección o sobreescritura de archivos ejecutables en situaciones típicas, sí permite la manipulación de archivos dentro del directorio de instalación, lo que podría llevar a la modificación de archivos de configuración o la inserción de código malicioso. El alcance del impacto depende de los permisos del usuario que ejecuta pip y de la sensibilidad de los archivos dentro del directorio de instalación. Esta vulnerabilidad se diferencia de las RCEs (Remote Code Execution) en que no permite la ejecución remota de código, sino la manipulación de archivos existentes.
El CVE-2026-1703 fue publicado el 2 de febrero de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza. La probabilidad de explotación se considera baja debido a la necesidad de crear un archivo wheel malicioso específico y a las limitaciones del impacto. No se ha añadido a la lista KEV de CISA.
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
La mitigación principal para el CVE-2026-1703 es actualizar a la versión 26.0 de pip o superior. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente el origen de los archivos wheel antes de instalarlos. Además, se pueden implementar medidas de seguridad adicionales, como restringir los permisos del usuario que ejecuta pip y monitorear la actividad del sistema en busca de patrones sospechosos. Después de la actualización, verifique la versión de pip con pip --version para confirmar que se ha aplicado la corrección.
Actualice pip a la versión 26.0 o superior. Esto se puede hacer ejecutando `pip install --upgrade pip`. Asegúrese de que el entorno de Python donde se ejecuta pip esté actualizado también.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1703 is a vulnerability in pip versions up to 9.0.3 that allows attackers to extract files outside the intended installation directory when installing malicious wheel archives.
You are affected if you are using pip version 9.0.3 or earlier. Check your pip version using pip --version.
Upgrade pip to version 26.0 or later using pip install --upgrade pip==26.0.
Currently, there are no publicly known exploits or active campaigns targeting CVE-2026-1703.
Refer to the pip project's security advisories and the Python Security Announcements for official information: https://pip.pypa.io/en/stable/security/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.