Plataforma
python
Componente
unstructured
Corrigido em
0.18.19
0.18.18
Uma vulnerabilidade de Path Traversal foi identificada na biblioteca unstructured até a versão 0.9.3. Essa falha, presente na função partition_msg, permite que um atacante escreva ou sobrescreva arquivos arbitrários no sistema de arquivos ao processar arquivos MSG maliciosos com anexos. O impacto potencial é significativo, podendo levar à execução remota de código através da manipulação de arquivos de configuração ou tarefas agendadas.
A vulnerabilidade de Path Traversal em unstructured permite que um atacante crie um arquivo .msg malicioso com nomes de arquivos de anexos contendo sequências de path traversal (por exemplo, ../../../etc/cron.d/malicious). Quando processado com process_attachments=True, a biblioteca escreve o anexo em um caminho controlado pelo atacante. Isso pode resultar na sobrescrita de arquivos arbitrários, permitindo a execução remota de código. Um atacante pode, por exemplo, sobrescrever arquivos de configuração do sistema ou adicionar tarefas maliciosas ao cron, comprometendo a integridade do sistema. A exploração bem-sucedida requer que a biblioteca unstructured seja utilizada para processar arquivos .msg com anexos, o que é comum em aplicações que lidam com e-mails ou documentos.
A vulnerabilidade foi publicada em 2026-02-03. Não há informações disponíveis sobre a inclusão em KEV ou um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (Path Traversal) a torna suscetível a exploração por atacantes com conhecimento técnico. A ausência de um PoC público não significa que a vulnerabilidade não seja um risco, especialmente em ambientes onde a biblioteca unstructured é utilizada para processar arquivos .msg de fontes não confiáveis.
Organizations and developers using the unstructured Python library to process email attachments, particularly those handling untrusted email sources, are at significant risk. Systems with older versions of the library (≤0.9.3) and those lacking robust input validation are especially vulnerable. Shared hosting environments where multiple applications share the same filesystem are also at increased risk.
• python / server:
import os
import hashlib
def check_attachment_filename(filename):
# Check for path traversal sequences
if "../" in filename:
print(f"Potential path traversal detected in filename: {filename}")
return True
return False
# Example usage
filename = "../../../etc/cron.d/malicious.txt"
if check_attachment_filename(filename):
print("Malicious filename detected!")disclosure
Status do Exploit
EPSS
0.12% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a biblioteca unstructured para a versão 0.18.18 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desabilitar a opção process_attachments=True ao processar arquivos .msg, limitando a capacidade da biblioteca de escrever arquivos no sistema. Implementar validação rigorosa dos nomes de arquivos de anexos antes de processá-los pode ajudar a prevenir a exploração. Além disso, configure um Web Application Firewall (WAF) para bloquear solicitações que contenham sequências de path traversal nos nomes de arquivos. Monitore logs de sistema e de aplicação em busca de atividades suspeitas, como tentativas de escrita em locais inesperados do sistema de arquivos.
Atualize a biblioteca `unstructured` para a versão 0.18.18 ou superior. Isso corrige a vulnerabilidade de path traversal ao processar arquivos MSG maliciosos. Execute `pip install --upgrade unstructured` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-64712 is a critical Path Traversal vulnerability in the unstructured Python library that allows attackers to overwrite files by crafting malicious .msg attachments.
You are affected if you are using unstructured versions less than or equal to 0.9.3 and process email attachments.
Upgrade to version 0.18.18 or later. If upgrading is not possible, disable attachment processing or implement strict input validation.
There are no confirmed active exploits at this time, but the vulnerability's potential for remote code execution makes it a high-priority concern.
Refer to the unstructured project's release notes and security advisories on their GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.