Plataforma
python
Componente
nltk
Corregido en
3.9.4
3.9.3
La vulnerabilidad CVE-2026-33236 es un fallo de Path Traversal descubierto en la librería nltk, específicamente en su downloader. Esta falla permite a atacantes controlar un servidor XML remoto para inyectar secuencias de path traversal (como '../') en los atributos 'subdir' y 'id', lo que puede resultar en la creación, modificación o incluso la sobreescritura de archivos críticos en el sistema. La vulnerabilidad afecta a versiones de nltk menores o iguales a 3.9.2 y se recomienda actualizar a una versión corregida para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad podría obtener control sobre el sistema afectado. La capacidad de crear archivos arbitrarios permite la ejecución de código malicioso, la modificación de la configuración del sistema o el robo de información sensible. La sobreescritura de archivos críticos como /etc/passwd o ~/.ssh/authorized_keys podría comprometer la integridad del sistema y permitir el acceso no autorizado. El impacto potencial es alto, especialmente en entornos donde nltk se utiliza para el procesamiento de lenguaje natural y el acceso a datos sensibles.
Esta vulnerabilidad fue publicada el 19 de marzo de 2026. Actualmente no se conoce la existencia de un PoC público, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a explotación. La probabilidad de explotación se considera media, dado que requiere el control de un servidor XML remoto, pero el impacto potencial es alto. Se recomienda monitorear activamente los sistemas afectados.
Systems running NLTK versions 3.9.2 and earlier are at risk, particularly those where the NLTK downloader is exposed to untrusted XML index servers. Development environments and automated build pipelines that utilize NLTK are also potential targets.
• python / nltk:
import os
import hashlib
def check_nltk_version():
import nltk
version = nltk.version.version
if version <= '3.9.2':
print(f"NLTK version {version} is vulnerable to CVE-2026-33236.")
else:
print(f"NLTK version {version} is not vulnerable.")
check_nltk_version()• generic web: Monitor access logs for requests to NLTK download endpoints containing path traversal sequences (e.g., ../).
• generic web: Check for unexpected files or directories created in system directories.
disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar la librería nltk a una versión corregida que implemente la validación adecuada de los atributos 'subdir' y 'id' en los archivos XML remotos. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el directorio donde nltk descarga los archivos, limitando los permisos de escritura solo a los usuarios necesarios. Además, se puede considerar la implementación de una WAF (Web Application Firewall) para filtrar las peticiones que contengan secuencias de path traversal. La verificación de la mitigación se realiza confirmando que la nueva versión de nltk valida correctamente las entradas y no permite la creación de archivos fuera del directorio esperado.
Actualice la biblioteca NLTK a una versión posterior a 3.9.3. Esto se puede hacer utilizando el gestor de paquetes pip: `pip install --upgrade nltk`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33236 is a Path Traversal vulnerability affecting NLTK versions up to 3.9.2. It allows attackers to create or overwrite files by manipulating remote XML index files.
Yes, if you are using NLTK version 3.9.2 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade to a patched version of NLTK that addresses the vulnerability. Until then, restrict access to the downloader and validate input.
There is currently no confirmed active exploitation of CVE-2026-33236, but the vulnerability's nature suggests it could be exploited.
Refer to the NLTK security advisories and project documentation for updates and official guidance on CVE-2026-33236.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.