Plataforma
python
Componente
nltk
Corrigido em
3.9.4
3.9.3
Uma vulnerabilidade de Path Traversal foi descoberta no NLTK (Natural Language Toolkit), uma biblioteca Python para processamento de linguagem natural. Esta falha permite que atacantes controlem servidores XML remotos para injetar sequências de path traversal, possibilitando a criação ou sobrescrita de arquivos em locais arbitrários do sistema. A vulnerabilidade afeta versões do NLTK até 3.9.2 e uma correção está disponível.
A exploração bem-sucedida desta vulnerabilidade pode levar a sérias consequências para a segurança do sistema. Um atacante pode criar arquivos em diretórios inesperados, potencialmente elevando privilégios ou comprometendo a integridade do sistema. A capacidade de sobrescrever arquivos críticos, como /etc/passwd ou ~/.ssh/authorized_keys, pode resultar em acesso não autorizado ao sistema e roubo de dados. A vulnerabilidade se assemelha a outros casos de Path Traversal, onde a falta de validação de entrada permite que atacantes manipulem o caminho do arquivo.
A vulnerabilidade foi publicada em 2026-03-19. Não há informações disponíveis sobre exploração ativa ou a inclusão em listas como KEV. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade e a disponibilidade de ferramentas para automatizar ataques de Path Traversal.
Systems running NLTK versions 3.9.2 and earlier are at risk, particularly those where the NLTK downloader is exposed to untrusted XML index servers. Development environments and automated build pipelines that utilize NLTK are also potential targets.
• python / nltk:
import os
import hashlib
def check_nltk_version():
import nltk
version = nltk.version.version
if version <= '3.9.2':
print(f"NLTK version {version} is vulnerable to CVE-2026-33236.")
else:
print(f"NLTK version {version} is not vulnerable.")
check_nltk_version()• generic web: Monitor access logs for requests to NLTK download endpoints containing path traversal sequences (e.g., ../).
• generic web: Check for unexpected files or directories created in system directories.
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o NLTK para uma versão corrigida, assim que disponível. Enquanto isso, implemente validação rigorosa de entrada para os atributos subdir e id ao processar arquivos XML remotos. Considere o uso de uma WAF (Web Application Firewall) para bloquear requisições com sequências de path traversal suspeitas. Monitore logs de acesso e erros em busca de tentativas de acesso a arquivos fora do diretório esperado.
Actualice la biblioteca NLTK a una versión posterior a 3.9.3. Esto se puede hacer utilizando el gestor de paquetes pip: `pip install --upgrade nltk`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33236 is a Path Traversal vulnerability affecting NLTK versions up to 3.9.2. It allows attackers to create or overwrite files by manipulating remote XML index files.
Yes, if you are using NLTK version 3.9.2 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade to a patched version of NLTK that addresses the vulnerability. Until then, restrict access to the downloader and validate input.
There is currently no confirmed active exploitation of CVE-2026-33236, but the vulnerability's nature suggests it could be exploited.
Refer to the NLTK security advisories and project documentation for updates and official guidance on CVE-2026-33236.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.