Platform
python
Component
nltk
Opgelost in
3.9.4
3.9.3
CVE-2026-33236 beschrijft een Path Traversal kwetsbaarheid in de nltk bibliotheek, specifiek in de downloader. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden aan te maken of te overschrijven op het systeem. De kwetsbaarheid treedt op in versies van nltk die kleiner of gelijk zijn aan 3.9.2. Een patch is beschikbaar en wordt sterk aangeraden.
Deze Path Traversal kwetsbaarheid in nltk is significant omdat het aanvallers de mogelijkheid biedt om de controle over het systeem te verwerven. Door een gemanipuleerd XML-indexbestand te leveren, kan een aanvaller paden buiten de beoogde downloadlocatie benaderen. Dit kan leiden tot het creëren van willekeurige bestanden in gevoelige directories, het overschrijven van configuratiebestanden zoals /etc/passwd of ~/.ssh/authorized_keys, en potentieel het verkrijgen van root-toegang. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de integriteit van het systeem in gevaar komt.
Deze kwetsbaarheid is openbaar bekend gemaakt op 19 maart 2026. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de publicatie van een proof-of-concept (POC) is waarschijnlijk. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op dit moment.
Systems running NLTK versions 3.9.2 and earlier are at risk, particularly those where the NLTK downloader is exposed to untrusted XML index servers. Development environments and automated build pipelines that utilize NLTK are also potential targets.
• python / nltk:
import os
import hashlib
def check_nltk_version():
import nltk
version = nltk.version.version
if version <= '3.9.2':
print(f"NLTK version {version} is vulnerable to CVE-2026-33236.")
else:
print(f"NLTK version {version} is not vulnerable.")
check_nltk_version()• generic web: Monitor access logs for requests to NLTK download endpoints containing path traversal sequences (e.g., ../).
• generic web: Check for unexpected files or directories created in system directories.
disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33236 is het upgraden naar een beveiligde versie van nltk. Controleer de officiële nltk documentatie voor de meest recente beveiligde versie. Als een upgrade momenteel niet mogelijk is, kan het implementeren van een WAF (Web Application Firewall) helpen om verdachte XML-indexbestanden te blokkeren. Verder kan het beperken van de rechten van de gebruiker die nltk uitvoert de impact van een succesvolle exploitatie verminderen. Na de upgrade, verifieer de integriteit van het systeem door te controleren of er geen onverwachte bestanden of wijzigingen zijn aangebracht.
Actualice la biblioteca NLTK a una versión posterior a 3.9.3. Esto se puede hacer utilizando el gestor de paquetes pip: `pip install --upgrade nltk`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33236 is a Path Traversal vulnerability affecting NLTK versions up to 3.9.2. It allows attackers to create or overwrite files by manipulating remote XML index files.
Yes, if you are using NLTK version 3.9.2 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade to a patched version of NLTK that addresses the vulnerability. Until then, restrict access to the downloader and validate input.
There is currently no confirmed active exploitation of CVE-2026-33236, but the vulnerability's nature suggests it could be exploited.
Refer to the NLTK security advisories and project documentation for updates and official guidance on CVE-2026-33236.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.