Plataforma
python
Componente
guarddog
Corregido en
2.7.2
2.7.1
Se ha identificado una vulnerabilidad de recorrido de ruta (path traversal) en la función safe_extract() de GuardDog, una herramienta de seguridad para Python. Esta falla permite a paquetes maliciosos de PyPI sobrescribir archivos arbitrarios fuera del directorio de extracción previsto, lo que puede resultar en la ejecución remota de código. La vulnerabilidad afecta a versiones de GuardDog menores o iguales a 2.7.0 y se ha solucionado en la versión 2.7.1.
La vulnerabilidad de recorrido de ruta en GuardDog representa un riesgo significativo para la seguridad de los sistemas que lo utilizan. Un atacante podría aprovechar esta falla para subir un paquete malicioso a través de PyPI, que al ser instalado por un sistema vulnerable, permitiría la escritura de archivos en ubicaciones arbitrarias. Esto podría incluir la sobrescritura de archivos de configuración críticos, la inserción de código malicioso en archivos ejecutables o incluso la ejecución directa de comandos en el sistema. El impacto potencial es la toma de control completa del sistema afectado, con la posibilidad de propagarse a otros sistemas en la red si las credenciales son comprometidas.
Esta vulnerabilidad fue publicada el 13 de enero de 2026. Actualmente no se dispone de información sobre campañas de explotación activas, pero la naturaleza de la vulnerabilidad (recorrido de ruta) la convierte en un objetivo potencial para atacantes. La disponibilidad de un proof-of-concept (PoC) podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations utilizing GuardDog for automated software deployment, dependency management, or package extraction are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where third-party Python packages are automatically installed. Shared hosting environments where multiple users may have access to the system are particularly vulnerable.
• python / supply-chain:
import os
import zipfile
def safe_extract(archive_path, extract_to):
with zipfile.ZipFile(archive_path, 'r') as zipf:
for member in zipf.infolist():
# Check if the extracted path is within the allowed directory
if not extract_to in member.filename:
print(f"Suspicious file: {member.filename}")• generic web: Check for unusual file modifications in the GuardDog installation directory using file integrity monitoring tools.
disclosure
Estado del Exploit
EPSS
0.66% (71% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar a la versión 2.7.1 de GuardDog, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción de los permisos de escritura del directorio de instalación de GuardDog, la implementación de un sistema de detección de intrusiones (IDS) para monitorear la actividad sospechosa relacionada con la manipulación de archivos y la revisión exhaustiva de todos los paquetes de PyPI antes de su instalación. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Después de la actualización, confirme la corrección revisando los logs del sistema en busca de intentos de acceso no autorizados.
Actualice la herramienta GuardDog a la versión 2.7.1 o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución remota de código. Puede actualizar GuardDog utilizando el gestor de paquetes pip: `pip install --upgrade guarddog`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22871 is a Remote Code Execution vulnerability in the GuardDog Python package, allowing attackers to overwrite files and potentially gain control of systems.
You are affected if you are using GuardDog version 2.7.0 or earlier. Upgrade to 2.7.1 or later to mitigate the risk.
Upgrade to GuardDog version 2.7.1 or later. As a temporary workaround, restrict file system access or monitor for suspicious file modifications.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation warrants caution.
Refer to the GuardDog project's official security advisories and release notes for details: [https://github.com/guarddog-project/guarddog](https://github.com/guarddog-project/guarddog)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.