Platform
python
Component
unstructured
Opgelost in
0.18.19
0.18.18
Een Path Traversal kwetsbaarheid is ontdekt in de partition_msg functie van de unstructured Python bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het bestandssysteem te schrijven of overschrijven bij het verwerken van kwaadaardige MSG-bestanden met bijlagen. De kwetsbaarheid treedt op in versies van de bibliotheek tot en met 0.9.3. Een update naar versie 0.18.18 lost dit probleem op.
Een aanvaller kan een kwaadaardig .msg bestand creëren met attachment bestandsnamen die path traversal sequences bevatten, zoals ../../../etc/cron.d/malicious. Wanneer deze bestanden verwerkt worden met process_attachments=True, schrijft de bibliotheek de attachment naar een door de aanvaller gecontroleerde locatie. Dit kan leiden tot verschillende ernstige gevolgen, waaronder het overschrijven van willekeurige bestanden op het systeem. In het bijzonder kan dit gebruikt worden om configuratiebestanden of cron-jobs te overschrijven, wat resulteert in remote code execution. De impact is significant, aangezien een succesvolle exploit volledige controle over het getroffen systeem kan opleveren. Dit is vergelijkbaar met exploits die gebruik maken van onvoldoende validatie van gebruikersinvoer om toegang te krijgen tot gevoelige systeembestanden.
De kwetsbaarheid is openbaar gemaakt op 2026-02-03. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de kritieke CVSS score (9.8) en de mogelijkheid tot remote code execution maken dit een hoog-risico item. Het is waarschijnlijk dat er binnenkort proof-of-concept exploits beschikbaar komen. Controleer de NVD en CISA websites voor updates over de status van deze kwetsbaarheid.
Organizations and developers using the unstructured Python library to process email attachments, particularly those handling untrusted email sources, are at significant risk. Systems with older versions of the library (≤0.9.3) and those lacking robust input validation are especially vulnerable. Shared hosting environments where multiple applications share the same filesystem are also at increased risk.
• python / server:
import os
import hashlib
def check_attachment_filename(filename):
# Check for path traversal sequences
if "../" in filename:
print(f"Potential path traversal detected in filename: {filename}")
return True
return False
# Example usage
filename = "../../../etc/cron.d/malicious.txt"
if check_attachment_filename(filename):
print("Malicious filename detected!")disclosure
Exploit Status
EPSS
0.12% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de unstructured Python bibliotheek naar versie 0.18.18 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke workarounds zoals het uitschakelen van de process_attachments=True optie, wat de functionaliteit beperkt maar het risico op path traversal vermindert. Implementeer een Web Application Firewall (WAF) of proxy om inkomende MSG-bestanden te inspecteren op verdachte path traversal sequences. Monitor logbestanden op ongebruikelijke bestandstoegangsactiviteit, met name schrijfbewerkingen naar onverwachte locaties. Het is belangrijk om te verifiëren dat de upgrade succesvol is door een testbestand met een path traversal sequence te proberen te verwerken na de upgrade; dit bestand zou niet moeten worden geschreven naar een ongewenste locatie.
Actualiseer de `unstructured` bibliotheek naar versie 0.18.18 of hoger. Dit corrigeert de path traversal kwetsbaarheid bij het verwerken van kwaadaardige MSG-bestanden. Voer `pip install --upgrade unstructured` uit om te updaten.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-64712 is a critical Path Traversal vulnerability in the unstructured Python library that allows attackers to overwrite files by crafting malicious .msg attachments.
You are affected if you are using unstructured versions less than or equal to 0.9.3 and process email attachments.
Upgrade to version 0.18.18 or later. If upgrading is not possible, disable attachment processing or implement strict input validation.
There are no confirmed active exploits at this time, but the vulnerability's potential for remote code execution makes it a high-priority concern.
Refer to the unstructured project's release notes and security advisories on their GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.