मुफ्त स्कैन करें
CRITICALCVE-2025-14009CVSS 10

CVE-2025-14009

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

python

घटक

nltk

में ठीक किया गया

3.9.3

AI Confidence: highNVDEPSS 0.6%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

A critical remote code execution (RCE) vulnerability has been identified in the NLTK (Natural Language Toolkit) downloader component, specifically affecting versions up to 3.9b1. The vulnerability stems from insufficient path validation during the extraction of downloaded zip packages, allowing attackers to inject malicious code. Successful exploitation could lead to complete system compromise. The vulnerability was published on 2026-02-18 and a fix is available in version 3.9.3.

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The core issue lies within the unzipiter function in nltk/downloader.py, which utilizes zipfile.extractall() without proper security checks. An attacker can craft a specially designed zip archive containing malicious Python files, such as init.py. When a user downloads and extracts this archive using NLTK, these malicious files will be automatically executed upon import, granting the attacker arbitrary code execution privileges. This effectively bypasses standard security measures, as NLTK inherently trusts downloaded packages. The blast radius is significant, potentially impacting any system running vulnerable versions of NLTK and processing downloaded data.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability is considered high probability due to the ease of crafting malicious zip files and the widespread use of NLTK in various NLP applications. No public proof-of-concept (PoC) has been released as of the publication date, but the simplicity of the exploit makes it likely that one will emerge. The vulnerability has been added to the CISA KEV catalog, indicating a heightened level of concern. Active exploitation campaigns are not currently confirmed, but the criticality of the vulnerability warrants proactive monitoring and mitigation.

कौन जोखिम में हैअनुवाद हो रहा है…

Researchers and developers utilizing NLTK for natural language processing tasks are at significant risk. Specifically, those using older versions of NLTK (≤3.9b1) or those who automatically process downloaded data without proper validation are particularly vulnerable. Shared hosting environments where multiple users may be utilizing NLTK are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• python / supply-chain:

import os
import zipfile

def check_nltk_download_path(download_dir):
    for filename in os.listdir(download_dir):
        if filename.endswith('.zip'):
            try:
                with zipfile.ZipFile(os.path.join(download_dir, filename), 'r') as zip_ref:
                    for member in zip_ref.infolist():
                        if not member.filename.startswith('nltk/'):
                            print(f"Suspicious file found in zip: {member.filename}")
            except Exception as e:
                print(f"Error processing zip file: {e}")

# Example usage (replace with actual download directory)
nltk_download_dir = '/path/to/nltk/downloads'
check_nltk_download_path(nltk_download_dir)

• generic web: Check NLTK download directories for unexpected files or scripts. • generic web: Monitor system logs for unusual Python process execution after NLTK downloads.

हमले की समयरेखा

  1. Disclosure

    disclosure

  2. Patch

    patch

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.62% (70% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H10.0CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकnltk
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
unspecified – latest
3.9.3

कमजोरी वर्गीकरण (CWE)

CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के 7 दिन बाद पैच

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation is to immediately upgrade to NLTK version 3.9.3 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider temporarily disabling the NLTK downloader and manually verifying the integrity of any downloaded data. Implement strict file integrity checks on all downloaded packages before processing them. While a WAF or proxy cannot directly address this vulnerability, they can be configured to block downloads from untrusted sources. There are no specific Sigma or YARA rules readily available for this vulnerability, but monitoring for unusual Python process execution after NLTK downloads is recommended.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice la biblioteca NLTK a la última versión disponible. Esto solucionará la vulnerabilidad Zip Slip. Asegúrese de validar y desinfectar las entradas antes de procesarlas con NLTK.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2025-14009 — RCE in nltk/nltk?

CVE-2025-14009 is a critical remote code execution vulnerability in the NLTK downloader component, allowing attackers to execute arbitrary code through malicious zip packages.

Am I affected by CVE-2025-14009 in nltk/nltk?

You are affected if you are using NLTK versions 3.9b1 or earlier. Upgrade to 3.9.3 or later to mitigate the risk.

How do I fix CVE-2025-14009 in nltk/nltk?

Upgrade to NLTK version 3.9.3 or later. If immediate upgrade is not possible, disable the downloader and manually verify downloaded data.

Is CVE-2025-14009 being actively exploited?

Active exploitation is not currently confirmed, but the vulnerability's criticality warrants proactive monitoring and mitigation.

Where can I find the official nltk advisory for CVE-2025-14009?

Refer to the official NLTK security advisory and release notes for detailed information and updates: [https://www.nltk.org/]

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें