Black: Escritura arbitraria de archivos desde entrada de usuario no saneada en el nombre del archivo de caché

La vulnerabilidad de Acceso Arbitrario de Archivos en Black permite a un atacante escribir archivos en cualquier ubicación del sistema de archivos que pueda ser escrita por el proceso de Black. Esto podría permitir a un atacante sobrescribir archivos de configuración críticos, ejecutar código malicioso o comprometer la integridad del sistema. El atacante necesita controlar el valor del argumento --python-cell-magics para explotar la vulnerabilidad. La falta de sanitización de este argumento permite la manipulación del nombre del archivo de caché, facilitando la escritura en ubicaciones no deseadas. La severidad de este problema radica en la posibilidad de ejecución remota de código si se sobrescriben archivos ejecutables o scripts.

Developers and DevOps teams using Black in automated pipelines or CI/CD systems are particularly at risk. Environments where Black is integrated with third-party tools or services that provide untrusted input to the --python-cell-magics option are also vulnerable. Shared hosting environments where multiple users have access to the Black command-line interface should be carefully reviewed.

• python / code formatting:

Get-Process -Name Black | Select-Object -ExpandProperty Path

• python / code formatting: Check for unusual cache files in unexpected locations (e.g., /etc/passwd.black_cache). • python / code formatting: Monitor command-line arguments passed to Black for suspicious paths or characters in the --python-cell-magics option. • python / code formatting: Review Black configuration files for any hardcoded or default values for --python-cell-magics that could be exploited.

1. 2026-03-12Disclosure

   disclosure

1. Reservado2026-03-11
2. Publicada2026-03-12
3. Modificada2026-03-16
4. EPSS actualizado2026-03-23

La solución principal es actualizar a la versión 26.3.1 de Black, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar permitir la entrada de usuario no confiable en el valor del argumento --python-cell-magics. Esto puede lograrse validando o sanitizando la entrada antes de usarla en el nombre del archivo. Como medida adicional, se pueden implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes que contengan caracteres sospechosos en el argumento --python-cell-magics. La monitorización de los logs del sistema en busca de patrones de escritura de archivos inusuales también puede ayudar a detectar la explotación de esta vulnerabilidad.