Plateforme
python
Composant
pip
Corrigé dans
26.0
26.0
La vulnérabilité CVE-2026-1703 est une faille de traversal de chemin (Path Traversal) découverte dans pip, le gestionnaire de paquets pour Python. Lors de l'installation et de l'extraction d'archives wheel malveillantes, pip peut extraire des fichiers en dehors du répertoire d'installation. Cette vulnérabilité affecte les versions de pip inférieures ou égales à 9.0.3. La mise à jour vers la version 26.0 corrige ce problème.
Cette vulnérabilité permet à un attaquant de manipuler le processus d'installation de pip pour extraire des fichiers arbitraires en dehors du répertoire d'installation prévu. Bien que la traversal de chemin soit limitée aux préfixes du répertoire d'installation, cela pourrait potentiellement permettre à un attaquant de modifier ou de remplacer des fichiers non critiques dans l'environnement Python. L'impact est considéré comme faible car il est peu probable que cette vulnérabilité permette l'injection ou l'écrasement de fichiers exécutables dans des scénarios typiques. Cependant, une exploitation réussie pourrait compromettre l'intégrité du système en modifiant des fichiers de configuration ou des données.
Cette vulnérabilité a été publiée le 2 février 2026. Aucun exploit public n'est connu à ce jour. Le score CVSS de 2.5 indique une faible probabilité d'exploitation. Elle n'a pas encore été ajoutée au catalogue KEV de CISA.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
La mitigation principale consiste à mettre à jour pip vers la version 26.0 ou supérieure. Si la mise à jour n'est pas immédiatement possible, examinez attentivement les archives wheel avant de les installer, en particulier celles provenant de sources non fiables. Il n'existe pas de contournement de configuration connu. Surveillez les journaux d'installation de pip pour détecter toute activité suspecte, comme des tentatives d'extraction de fichiers en dehors du répertoire d'installation. Après la mise à jour, vérifiez l'installation en exécutant pip --version pour confirmer la version.
Mettez à jour pip à la version 26.0 ou supérieure. Cela peut être fait en exécutant `pip install --upgrade pip`. Assurez-vous également que l'environnement Python dans lequel pip est exécuté est à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1703 is a vulnerability in pip versions up to 9.0.3 that allows attackers to extract files outside the intended installation directory when installing malicious wheel archives.
You are affected if you are using pip version 9.0.3 or earlier. Check your pip version using pip --version.
Upgrade pip to version 26.0 or later using pip install --upgrade pip==26.0.
Currently, there are no publicly known exploits or active campaigns targeting CVE-2026-1703.
Refer to the pip project's security advisories and the Python Security Announcements for official information: https://pip.pypa.io/en/stable/security/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.