setuptools
Corrigido em
78.1.2
78.1.1
Uma vulnerabilidade de path traversal foi descoberta no PackageIndex do setuptools, uma ferramenta para gerenciamento de pacotes Python. Essa falha permite que um atacante escreva arquivos em locais arbitrários no sistema de arquivos, com as permissões do processo Python em execução. Versões do setuptools anteriores à 78.1.1 são afetadas, e a atualização para essa versão resolve o problema.
A exploração bem-sucedida desta vulnerabilidade pode resultar na execução remota de código (RCE) no sistema afetado. Um atacante pode, por exemplo, sobrescrever arquivos de configuração críticos ou injetar código malicioso em scripts Python. O impacto potencial é significativo, pois permite o controle total do sistema, dependendo das permissões do processo Python em execução e do contexto da aplicação. A capacidade de escrever em locais arbitrários do sistema de arquivos representa um risco elevado, especialmente em ambientes onde o processo Python executa com privilégios elevados.
Esta vulnerabilidade foi publicada em 2025-05-17. Não há informações disponíveis sobre sua inclusão no KEV (CISA Known Exploited Vulnerabilities) ou sobre um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (path traversal com potencial de RCE) a torna um alvo atraente para exploração.
Development environments utilizing Python and setuptools are at risk. Continuous integration/continuous deployment (CI/CD) pipelines that automatically install Python packages are particularly vulnerable, as they could be exploited to inject malicious code into deployed applications. Organizations using custom Python scripts or tools that rely on setuptools for package management should also prioritize remediation.
• python / package-manager:
Get-Package -Name setuptools | Select-Object Version• python / package-manager:
python -m pip show setuptools• generic web: Check for unusual files or directories created during package installation or upgrade processes. Monitor system logs for suspicious file access attempts. • generic web: Review Python scripts for calls to setuptools functions that handle file paths, looking for potential path traversal vulnerabilities.
disclosure
Status do Exploit
EPSS
0.49% (percentil 65%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 78.1.1 ou superior do setuptools. Se a atualização direta causar problemas de compatibilidade, considere a possibilidade de reverter para uma versão anterior conhecida por ser segura, antes de aplicar as atualizações necessárias. Em ambientes onde a atualização imediata não é possível, implemente controles de acesso rigorosos para restringir o acesso ao diretório de instalação do setuptools. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de escrita de arquivos em locais inesperados. Não há detecção de assinaturas específicas disponíveis, mas a monitorização de atividades de escrita de arquivos fora do diretório de instalação do setuptools pode indicar uma exploração.
Actualice setuptools a la versión 78.1.1 o superior. Puede hacerlo utilizando el gestor de paquetes pip con el comando `pip install --upgrade setuptools`. Esto corregirá la vulnerabilidad de path traversal.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-47273 is a Remote Code Execution vulnerability in setuptools versions prior to 78.1.1, allowing attackers to write files to arbitrary locations and potentially achieve remote code execution.
You are affected if you are using setuptools versions 9.1 or earlier. Upgrade to 78.1.1 or later to resolve the vulnerability.
Upgrade setuptools to version 78.1.1 or later using pip: python -m pip install --upgrade setuptools==78.1.1.
There is currently no confirmed active exploitation, but the vulnerability's severity and widespread use of setuptools make it a high-priority concern.
Refer to the setuptools project's release notes and security advisories on their official website or GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.