Platform
python
Component
guarddog
Opgelost in
2.7.2
2.7.1
CVE-2026-22871 beschrijft een path traversal kwetsbaarheid in de safe_extract() functie van GuardDog, een Python package. Deze kwetsbaarheid maakt het mogelijk voor kwaadaardige PyPI packages om willekeurige bestanden buiten de beoogde extractiedirectory te overschrijven, wat resulteert in Arbitrary File Overwrite en Remote Code Execution. De kwetsbaarheid treft versies van GuardDog tot en met 2.7.0. Een fix is beschikbaar in versie 2.7.1.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te overschrijven, inclusief configuratiebestanden of uitvoerbare code. Dit kan leiden tot volledige controle over het getroffen systeem. De aanval kan worden uitgevoerd door een kwaadaardige PyPI package te uploaden die, bij installatie, de path traversal kwetsbaarheid misbruikt om bestanden buiten de verwachte extractiedirectory te schrijven. Dit is vergelijkbaar met eerdere path traversal kwetsbaarheden waarbij aanvallers configuratiebestanden hebben overschreven om codeuitvoering te verkrijgen. De impact is aanzienlijk, aangezien een aanvaller potentieel de volledige controle over het systeem kan overnemen.
Deze kwetsbaarheid werd publiek bekendgemaakt op 13 januari 2026. Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid misbruiken, maar de publicatie van een proof-of-concept is waarschijnlijk. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). De lage complexiteit van de exploitatie maakt het een aantrekkelijk doelwit voor aanvallers.
Organizations utilizing GuardDog for automated software deployment, dependency management, or package extraction are at significant risk. This includes DevOps teams, CI/CD pipelines, and any environment where third-party Python packages are automatically installed. Shared hosting environments where multiple users may have access to the system are particularly vulnerable.
• python / supply-chain:
import os
import zipfile
def safe_extract(archive_path, extract_to):
with zipfile.ZipFile(archive_path, 'r') as zipf:
for member in zipf.infolist():
# Check if the extracted path is within the allowed directory
if not extract_to in member.filename:
print(f"Suspicious file: {member.filename}")• generic web: Check for unusual file modifications in the GuardDog installation directory using file integrity monitoring tools.
disclosure
Exploit Status
EPSS
0.66% (71% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar GuardDog versie 2.7.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de automatische package installatie of het implementeren van strenge controles op de bron van geïnstalleerde packages. Een Web Application Firewall (WAF) kan worden geconfigureerd om verdachte patronen in de extractiepaden te detecteren en te blokkeren. Het monitoren van logbestanden op ongebruikelijke bestandstoegangsactiviteiten in de extractiedirectory kan helpen bij het detecteren van pogingen tot exploitatie. Zoek naar patronen die wijzen op het schrijven van bestanden buiten de verwachte locatie. Na de upgrade, verifieer de fix door een testinstallatie van een bekende kwaadaardige package te proberen en te controleren of de extractie beperkt blijft tot de beoogde directory.
Actualice la herramienta GuardDog a la versión 2.7.1 o superior. Esto solucionará la vulnerabilidad de path traversal que permite la escritura arbitraria de archivos y la ejecución remota de código. Puede actualizar GuardDog utilizando el gestor de paquetes pip: `pip install --upgrade guarddog`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22871 is a Remote Code Execution vulnerability in the GuardDog Python package, allowing attackers to overwrite files and potentially gain control of systems.
You are affected if you are using GuardDog version 2.7.0 or earlier. Upgrade to 2.7.1 or later to mitigate the risk.
Upgrade to GuardDog version 2.7.1 or later. As a temporary workaround, restrict file system access or monitor for suspicious file modifications.
No active exploitation campaigns have been publicly reported, but the vulnerability's ease of exploitation warrants caution.
Refer to the GuardDog project's official security advisories and release notes for details: [https://github.com/guarddog-project/guarddog](https://github.com/guarddog-project/guarddog)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.