Plateforme
python
Composant
black
Corrigé dans
26.3.2
26.3.1
La vulnérabilité CVE-2026-32274 concerne Black, un formateur de code Python. Elle permet une écriture de fichiers arbitraire, exploitant un manque de validation de l'option --python-cell-magics. Les versions affectées sont celles inférieures ou égales à 26.3.0. Une correction a été déployée dans la version 26.3.1.
Cette vulnérabilité permet à un attaquant contrôlant la valeur de l'option --python-cell-magics d'écrire des fichiers cache à des emplacements arbitraires sur le système de fichiers. Cela peut conduire à une compromission du système, incluant la modification de fichiers critiques, l'exécution de code malveillant, ou la divulgation d'informations sensibles. L'attaquant pourrait potentiellement prendre le contrôle du processus Black ou même du système hôte, en fonction des privilèges de l'utilisateur exécutant Black et des permissions sur les fichiers cibles. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la possibilité d'écrire des fichiers arbitraires représente un risque significatif.
La vulnérabilité a été rendue publique le 2026-03-12. Il n'y a pas d'indications d'exploitation active à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. L'absence de validation de l'entrée utilisateur dans l'option --python-cell-magics est un schéma de vulnérabilité courant, et une exploitation réussie pourrait potentiellement conduire à une compromission significative du système.
Developers and DevOps teams using Black in automated pipelines or CI/CD systems are particularly at risk. Environments where Black is integrated with third-party tools or services that provide untrusted input to the --python-cell-magics option are also vulnerable. Shared hosting environments where multiple users have access to the Black command-line interface should be carefully reviewed.
• python / code formatting:
Get-Process -Name Black | Select-Object -ExpandProperty Path• python / code formatting: Check for unusual cache files in unexpected locations (e.g., /etc/passwd.black_cache).
• python / code formatting: Monitor command-line arguments passed to Black for suspicious paths or characters in the --python-cell-magics option.
• python / code formatting: Review Black configuration files for any hardcoded or default values for --python-cell-magics that could be exploited.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
La mitigation principale consiste à mettre à jour Black vers la version 26.3.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est crucial d'éviter de permettre l'entrée utilisateur non fiable dans la valeur de l'option --python-cell-magics. Si l'option est nécessaire, validez et nettoyez rigoureusement toute entrée utilisateur avant de l'utiliser. Envisagez de restreindre les permissions sur les répertoires où Black écrit ses fichiers cache pour limiter l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez que l'option --python-cell-magics est correctement validée et que les fichiers cache sont écrits dans un emplacement sécurisé.
Actualice Black a la versión 26.3.1 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos debido a la falta de sanitización en la opción --python-cell-magics.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32274 is a HIGH severity vulnerability in Black versions ≤26.3.0 that allows attackers to write cache files to arbitrary locations due to unsanitized input to the --python-cell-magics option.
You are affected if you are using Black versions 26.3.0 or earlier and the --python-cell-magics option is exposed to untrusted input.
Upgrade to Black version 26.3.1 or later. As a temporary workaround, restrict user input to the --python-cell-magics option.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation makes it a potential target.
Refer to the Black project's official release notes and security advisories for details: [https://black.readthedocs.io/en/stable/](https://black.readthedocs.io/en/stable/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.