Plataforma
python
Componente
pytries
Corrigido em
0.8.1
0.8.2
0.8.3
0.8.4
A vulnerabilidade CVE-2026-5659 afeta a biblioteca pytries datrie nas versões de 0.8.0 a 0.8.3. Esta falha de deserialização insegura permite que um atacante remoto execute código malicioso ao manipular a função Trie.load/Trie.read/Trie.setstate. O exploit para esta vulnerabilidade foi divulgado publicamente, tornando-a um risco significativo. Atualmente, não há uma correção oficial disponível para esta vulnerabilidade.
Uma vulnerabilidade de deserialização foi identificada na biblioteca pytries datrie, afetando versões até a 0.8.3. Especificamente, as funções Trie.load, Trie.read e Trie.setstate dentro do arquivo src/datrie.pyx são suscetíveis. Um atacante remoto pode explorar esta vulnerabilidade para executar código arbitrário no sistema, comprometendo a confidencialidade, integridade e disponibilidade dos dados. A divulgação pública de um exploit aumenta significativamente o risco, pois facilita a exploração por agentes maliciosos. A falta de resposta do projeto agrava a situação, deixando os usuários sem uma correção oficial no curto prazo. Esta vulnerabilidade requer atenção imediata para evitar possíveis ataques.
A vulnerabilidade é explorada através da manipulação dos dados utilizados nas funções Trie.load, Trie.read e Trie.setstate. O exploit publicamente disponível simplifica o processo de ataque, permitindo que os atacantes injetem código malicioso durante o carregamento ou leitura de estruturas de dados Trie. A natureza remota da vulnerabilidade significa que os atacantes não precisam de acesso físico ao sistema afetado, expandindo o escopo potencial do ataque. A divulgação pública do exploit aumenta a probabilidade de ataques automatizados e direcionados.
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
Dado que não foi fornecida uma correção oficial pelo projeto pytries, a mitigação imediata envolve evitar o uso de versões do datrie anteriores à 0.8.3. Se for essencial usar a biblioteca, é recomendável implementar controles de segurança adicionais, como a validação estrita dos dados de entrada e a execução em um ambiente isolado (sandbox). Monitorar ativamente os sistemas em busca de sinais de exploração é crucial. Considere a possibilidade de explorar alternativas à biblioteca datrie se a vulnerabilidade representar um risco inaceitável. É vital manter-se informado sobre quaisquer atualizações ou patches que possam ser lançados pelo projeto no futuro, embora a falta de resposta atual seja preocupante.
Actualice a una versión corregida de pytries. La vulnerabilidad se encuentra en las versiones 0.8.0 a 0.8.3 y se debe actualizar a una versión posterior que corrija el problema de deserialización en la función Trie.__setstate__.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Deserialização é o processo de converter dados serializados (como um arquivo ou uma string) em um objeto utilizável. Vulnerabilidades de deserialização ocorrem quando dados serializados maliciosos podem ser usados para executar código arbitrário.
CVE significa 'Common Vulnerabilities and Exposures'. É um identificador único para esta vulnerabilidade específica.
Pare de usar versões anteriores à 0.8.3 imediatamente. Implemente medidas de mitigação temporárias e monitore seus sistemas.
Atualmente, não há um patch oficial disponível. Fique atento às atualizações do projeto pytries.
KEV significa 'Known Exploitable Vulnerabilities'. O fato de não estar marcado como KEV não diminui a gravidade da vulnerabilidade, especialmente com um exploit público disponível.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.