Plataforma
python
Componente
black
Corrigido em
26.3.2
26.3.1
A vulnerabilidade CVE-2026-32274 é uma falha de Acesso Arbitrário de Arquivos no Black, uma ferramenta de formatação de código Python. Um atacante que controla o valor da opção --python-cell-magics pode explorar essa falha para escrever arquivos em locais arbitrários do sistema de arquivos. A vulnerabilidade afeta versões do Black anteriores ou iguais a 26.3.0. A correção foi disponibilizada na versão 26.3.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante grave arquivos em qualquer local do sistema de arquivos que o processo Black tenha permissão para acessar. Isso pode levar à execução de código arbitrário, roubo de dados confidenciais ou modificação de arquivos de sistema. O impacto potencial é significativo, pois um atacante pode comprometer a integridade e a confidencialidade do sistema. A falta de sanitização da entrada --python-cell-magics torna a exploração relativamente simples, especialmente em ambientes onde essa opção é configurável e pode ser influenciada por fontes externas não confiáveis.
A vulnerabilidade foi divulgada em 2026-03-12. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um proof-of-concept público é desconhecida. A severidade da vulnerabilidade é classificada como ALTA (CVSS 7.5), indicando um risco significativo para sistemas vulneráveis.
Developers and DevOps teams using Black in automated pipelines or CI/CD systems are particularly at risk. Environments where Black is integrated with third-party tools or services that provide untrusted input to the --python-cell-magics option are also vulnerable. Shared hosting environments where multiple users have access to the Black command-line interface should be carefully reviewed.
• python / code formatting:
Get-Process -Name Black | Select-Object -ExpandProperty Path• python / code formatting: Check for unusual cache files in unexpected locations (e.g., /etc/passwd.black_cache).
• python / code formatting: Monitor command-line arguments passed to Black for suspicious paths or characters in the --python-cell-magics option.
• python / code formatting: Review Black configuration files for any hardcoded or default values for --python-cell-magics that could be exploited.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
A mitigação primária para esta vulnerabilidade é atualizar o Black para a versão 26.3.1 ou superior, que inclui a correção. Se a atualização imediata não for possível, uma solução alternativa é evitar o uso de entrada de usuário não confiável no valor da opção --python-cell-magics. Isso pode ser feito restringindo as fontes de entrada para essa opção ou implementando uma validação rigorosa da entrada antes de usá-la. Em ambientes de produção, considere implementar um firewall de aplicativos web (WAF) para bloquear solicitações maliciosas que tentem explorar essa vulnerabilidade. Após a atualização, confirme a correção verificando a versão do Black instalada com o comando black --version.
Actualice Black a la versión 26.3.1 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos debido a la falta de sanitización en la opción --python-cell-magics.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32274 is a HIGH severity vulnerability in Black versions ≤26.3.0 that allows attackers to write cache files to arbitrary locations due to unsanitized input to the --python-cell-magics option.
You are affected if you are using Black versions 26.3.0 or earlier and the --python-cell-magics option is exposed to untrusted input.
Upgrade to Black version 26.3.1 or later. As a temporary workaround, restrict user input to the --python-cell-magics option.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation makes it a potential target.
Refer to the Black project's official release notes and security advisories for details: [https://black.readthedocs.io/en/stable/](https://black.readthedocs.io/en/stable/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.