Plateforme
python
Composant
nltk
Corrigé dans
3.9.4
3.9.3
Une vulnérabilité de type Path Traversal a été découverte dans la bibliothèque nltk (Natural Language Toolkit) pour Python. Cette faille permet à un attaquant de manipuler les attributs subdir et id lors du traitement de fichiers XML d'index distants, conduisant à la création, à l'écriture et à l'écrasement de fichiers arbitraires sur le système. Les versions affectées sont celles inférieures ou égales à 3.9.2. Une correction est disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de compromettre la sécurité du système en créant des fichiers à des emplacements arbitraires, en modifiant des fichiers existants, voire en écrasant des fichiers système critiques. Cela pourrait inclure la modification du fichier /etc/passwd pour obtenir un accès root, l'ajout de clés SSH malveillantes dans ~/.ssh/authorized_keys pour un accès non autorisé, ou la corruption d'autres fichiers essentiels au fonctionnement du système. Le risque est exacerbé si le serveur d'index XML est compromis ou si un attaquant peut contrôler le contenu des fichiers XML.
Cette vulnérabilité a été rendue publique le 19 mars 2026. La probabilité d'exploitation est considérée comme moyenne (EPSS score non disponible). Il n'y a pas d'indicateurs d'exploitation active connus à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des attaquants disposant d'un accès au serveur d'index XML ou pouvant influencer son contenu. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Systems running NLTK versions 3.9.2 and earlier are at risk, particularly those where the NLTK downloader is exposed to untrusted XML index servers. Development environments and automated build pipelines that utilize NLTK are also potential targets.
• python / nltk:
import os
import hashlib
def check_nltk_version():
import nltk
version = nltk.version.version
if version <= '3.9.2':
print(f"NLTK version {version} is vulnerable to CVE-2026-33236.")
else:
print(f"NLTK version {version} is not vulnerable.")
check_nltk_version()• generic web: Monitor access logs for requests to NLTK download endpoints containing path traversal sequences (e.g., ../).
• generic web: Check for unexpected files or directories created in system directories.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour nltk vers une version corrigée dès que possible. En attendant, des mesures de protection peuvent être mises en place. Limitez l'accès au serveur d'index XML aux seuls utilisateurs et systèmes autorisés. Validez et désinfectez rigoureusement les entrées utilisateur, en particulier les valeurs des attributs subdir et id. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le téléchargement de ressources à partir de sources externes. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, mais une surveillance accrue des tentatives de création de fichiers dans des emplacements inattendus est recommandée.
Actualice la biblioteca NLTK a una versión posterior a 3.9.3. Esto se puede hacer utilizando el gestor de paquetes pip: `pip install --upgrade nltk`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33236 is a Path Traversal vulnerability affecting NLTK versions up to 3.9.2. It allows attackers to create or overwrite files by manipulating remote XML index files.
Yes, if you are using NLTK version 3.9.2 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade to a patched version of NLTK that addresses the vulnerability. Until then, restrict access to the downloader and validate input.
There is currently no confirmed active exploitation of CVE-2026-33236, but the vulnerability's nature suggests it could be exploited.
Refer to the NLTK security advisories and project documentation for updates and official guidance on CVE-2026-33236.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.