प्लेटफ़ॉर्म
python
घटक
setuptools
में ठीक किया गया
78.1.2
78.1.1
सेटuptools एक पैकेज है जो उपयोगकर्ताओं को Python पैकेज डाउनलोड, बनाने, स्थापित, अपग्रेड और अनइंस्टॉल करने की अनुमति देता है। सेटuptools के PackageIndex में एक पथ ट्रैवर्सल भेद्यता मौजूद है, संस्करण 78.1.1 से पहले। इस भेद्यता का फायदा उठाकर हमलावर फ़ाइल सिस्टम पर मनमाने स्थानों पर फ़ाइलें लिख सकता है। प्रभावित संस्करण 9.1 से कम या बराबर हैं। संस्करण 78.1.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावर को फ़ाइल सिस्टम पर मनमाने स्थानों पर फ़ाइलें लिखने की अनुमति देती है, जो Python कोड चलाने वाले प्रक्रिया के अनुमतियों के साथ होती है। यदि हमलावर इस क्षमता का उपयोग करके निष्पादन योग्य फ़ाइलें लिख सकता है या मौजूदा फ़ाइलों को संशोधित कर सकता है, तो यह रिमोट कोड एग्जीक्यूशन (RCE) का कारण बन सकता है। इसका मतलब है कि हमलावर सिस्टम पर अनधिकृत कोड चला सकता है, जिससे डेटा चोरी, सिस्टम नियंत्रण का नुकसान या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह Python अनुप्रयोगों के भीतर व्यापक रूप से उपयोग किए जाने वाले पैकेज को प्रभावित करती है, जिससे कई प्रणालियों के लिए जोखिम बढ़ जाता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन CVSS स्कोर 8.8 (HIGH) इंगित करता है कि इसका शोषण करने की संभावना मध्यम से उच्च है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। 2025-05-17 को CVE प्रकाशित किया गया था।
Development environments utilizing Python and setuptools are at risk. Continuous integration/continuous deployment (CI/CD) pipelines that automatically install Python packages are particularly vulnerable, as they could be exploited to inject malicious code into deployed applications. Organizations using custom Python scripts or tools that rely on setuptools for package management should also prioritize remediation.
• python / package-manager:
Get-Package -Name setuptools | Select-Object Version• python / package-manager:
python -m pip show setuptools• generic web: Check for unusual files or directories created during package installation or upgrade processes. Monitor system logs for suspicious file access attempts. • generic web: Review Python scripts for calls to setuptools functions that handle file paths, looking for potential path traversal vulnerabilities.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.49% (65% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, सेटuptools को संस्करण 78.1.1 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम पर लेखन को प्रतिबंधित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी नियमों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, Python अनुप्रयोगों में इनपुट सत्यापन और सैनिटाइजेशन को मजबूत करना महत्वपूर्ण है ताकि पथ ट्रैवर्सल हमलों को रोका जा सके। सिस्टम की निगरानी करना और असामान्य फ़ाइल लेखन गतिविधि के लिए अलर्ट सेट करना भी महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सेटuptools संस्करण की जाँच करें।
Actualice setuptools a la versión 78.1.1 o superior. Puede hacerlo utilizando el gestor de paquetes pip con el comando `pip install --upgrade setuptools`. Esto corregirá la vulnerabilidad de path traversal.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-47273 सेटuptools पैकेज में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो हमलावरों को फ़ाइल सिस्टम पर मनमाने स्थानों पर फ़ाइलें लिखने की अनुमति देती है।
यदि आप सेटuptools के संस्करण 9.1 से कम या बराबर का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
सेटuptools को संस्करण 78.1.1 या बाद के संस्करण में अपग्रेड करें।
हालांकि सार्वजनिक रूप से उपलब्ध PoC अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए सेटuptools वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।