Plateforme
python
Composant
guarddog
Corrigé dans
2.7.2
2.7.1
Une vulnérabilité de traversal de chemin a été découverte dans la fonction safe_extract() de GuardDog, un paquet Python. Cette faille permet à des paquets PyPI malveillants d'écrire des fichiers en dehors du répertoire d'extraction prévu, conduisant à un écrasement arbitraire de fichiers et potentiellement à une exécution de code à distance. Les versions de GuardDog affectées sont celles inférieures ou égales à 2.7.0. Une version corrigée (2.7.1) est disponible.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour écrire des fichiers arbitraires sur le système exécutant GuardDog. Cela peut inclure l'écrasement de fichiers de configuration critiques, l'insertion de code malveillant (par exemple, des scripts Python) ou la prise de contrôle complète du système. La capacité d'écraser des fichiers arbitraires ouvre la porte à une exécution de code à distance, permettant à un attaquant d'exécuter des commandes avec les privilèges de l'utilisateur sous lequel GuardDog s'exécute. Cette vulnérabilité présente un risque élevé, similaire à d'autres failles de traversal de chemin qui ont conduit à des compromissions de systèmes entiers.
Cette vulnérabilité a été rendue publique le 13 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature de la vulnérabilité (traversal de chemin) la rend potentiellement exploitable. Il est probable que des preuves de concept (PoC) seront développées et publiées, augmentant le risque d'exploitation. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations utilizing GuardDog for automated software deployment, dependency management, or package extraction are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where third-party Python packages are automatically installed. Shared hosting environments where multiple users may have access to the system are particularly vulnerable.
• python / supply-chain:
import os
import zipfile
def safe_extract(archive_path, extract_to):
with zipfile.ZipFile(archive_path, 'r') as zipf:
for member in zipf.infolist():
# Check if the extracted path is within the allowed directory
if not extract_to in member.filename:
print(f"Suspicious file: {member.filename}")• generic web: Check for unusual file modifications in the GuardDog installation directory using file integrity monitoring tools.
disclosure
Statut de l'Exploit
EPSS
0.66% (percentile 71%)
CISA SSVC
La mitigation principale consiste à mettre à jour GuardDog vers la version 2.7.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en œuvre. Il est recommandé de restreindre les autorisations d'accès au répertoire d'extraction de GuardDog, en limitant l'accès en écriture aux seuls utilisateurs et processus nécessaires. L'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes tentant d'exploiter la faille. Surveillez les journaux système pour détecter toute activité suspecte, en particulier les tentatives d'écriture de fichiers en dehors du répertoire d'extraction prévu.
Actualice la herramienta GuardDog a la versión 2.7.1 o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución remota de código. Puede actualizar GuardDog utilizando el gestor de paquetes pip: `pip install --upgrade guarddog`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22871 is a Remote Code Execution vulnerability in the GuardDog Python package, allowing attackers to overwrite files and potentially gain control of systems.
You are affected if you are using GuardDog version 2.7.0 or earlier. Upgrade to 2.7.1 or later to mitigate the risk.
Upgrade to GuardDog version 2.7.1 or later. As a temporary workaround, restrict file system access or monitor for suspicious file modifications.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation warrants caution.
Refer to the GuardDog project's official security advisories and release notes for details: [https://github.com/guarddog-project/guarddog](https://github.com/guarddog-project/guarddog)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.