Plataforma
python
Componente
pip
Corrigido em
26.0
26.0
A vulnerabilidade CVE-2026-1703 é classificada como Path Traversal e afeta o gerenciador de pacotes pip, em versões anteriores ou iguais a 9.0.3. Um atacante pode explorar essa falha ao instalar um arquivo wheel malicioso, permitindo a extração de arquivos fora do diretório de instalação. Embora a exploração seja limitada e não permita a injeção ou sobrescrita de arquivos executáveis em cenários típicos, o acesso não autorizado a arquivos pode comprometer a integridade do sistema. A correção está disponível na versão 26.0 do pip.
A exploração bem-sucedida da vulnerabilidade CVE-2026-1703 permite que um atacante extraia arquivos de um arquivo wheel malicioso para fora do diretório de instalação do pip. Embora a vulnerabilidade seja limitada em seu escopo, permitindo apenas a extração de arquivos dentro de prefixos do diretório de instalação, ela ainda pode levar ao acesso não autorizado a informações confidenciais ou à modificação de arquivos importantes. Em cenários onde o diretório de instalação do pip tem permissões amplas, um atacante pode potencialmente obter acesso a outros arquivos no sistema. A gravidade da vulnerabilidade reside na possibilidade de comprometer a integridade do ambiente Python e potencialmente permitir a execução de código malicioso, dependendo da configuração do sistema e dos arquivos acessíveis.
A vulnerabilidade CVE-2026-1703 foi divulgada em 2 de fevereiro de 2026. Não há relatos públicos de exploração ativa no momento. A probabilidade de exploração é considerada baixa devido à necessidade de criar um arquivo wheel malicioso e à limitação do escopo da vulnerabilidade. Não está listada no KEV da CISA.
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
A mitigação primária para a vulnerabilidade CVE-2026-1703 é atualizar o pip para a versão 26.0 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir as permissões do diretório de instalação do pip para limitar o impacto potencial de uma exploração bem-sucedida. Além disso, implemente uma política de segurança rigorosa para a validação de arquivos wheel antes da instalação, verificando a integridade e a origem dos pacotes. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à instalação de pacotes pip.
Atualize o pip para a versão 26.0 ou superior. Isso pode ser feito executando `pip install --upgrade pip`. Certifique-se de que o ambiente Python onde o pip é executado também esteja atualizado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1703 is a vulnerability in pip versions up to 9.0.3 that allows attackers to extract files outside the intended installation directory when installing malicious wheel archives.
You are affected if you are using pip version 9.0.3 or earlier. Check your pip version using pip --version.
Upgrade pip to version 26.0 or later using pip install --upgrade pip==26.0.
Currently, there are no publicly known exploits or active campaigns targeting CVE-2026-1703.
Refer to the pip project's security advisories and the Python Security Announcements for official information: https://pip.pypa.io/en/stable/security/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.