HIGHCVE-2025-47273CVSS 8.8

CVE-2025-47273

Q: 什么是 CVE-2025-47273 — RCE 在 setuptools 中?

CVE-2025-47273 是 setuptools 中 PackageIndex 组件中的路径遍历漏洞，允许攻击者写入文件系统任意位置，可能导致远程代码执行。

Q: 我是否受到 CVE-2025-47273 在 setuptools 中影响?

如果您正在使用 setuptools 版本 ≤9.1，则可能受到影响。请立即升级至 78.1.1 或更高版本。

Q: 我如何修复 CVE-2025-47273 在 setuptools 中?

升级至 setuptools 78.1.1 或更高版本是修复此漏洞的最佳方法。如果无法升级，请考虑使用文件系统权限控制来限制 Python 进程的写入权限。

Q: 在哪里可以找到官方 setuptools advisory for CVE-2025-47273?

请访问 setuptools 的官方网站或 GitHub 仓库，查找有关此漏洞的官方公告。

翻译中…

平台

python

组件

setuptools

修复版本

78.1.2

78.1.1

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-47273 描述了 setuptools 中的一个路径遍历漏洞，该漏洞允许攻击者将文件写入文件系统任意位置。此漏洞可能导致远程代码执行，具体取决于运行 Python 代码的进程的权限。受影响的版本包括 setuptools 9.1 及更早版本，建议升级至 78.1.1 版本以修复此问题。

影响与攻击场景

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在目标系统上执行任意代码，从而完全控制系统。攻击者可以利用此漏洞窃取敏感数据、安装恶意软件或发起进一步攻击。由于 setuptools 是 Python 包管理的核心组件，因此该漏洞可能影响使用 Python 的各种应用程序和系统。如果攻击者能够控制 Python 进程的执行，他们可以利用此漏洞进行横向移动，攻击网络中的其他系统。此漏洞的攻击范围取决于 Python 进程的权限和目标系统的配置。

利用背景

该漏洞已公开披露，并且可能存在公开的利用程序。目前尚无关于该漏洞被积极利用的公开报告，但由于其严重性和易利用性，建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的风险。

哪些人处于风险中翻译中…

Development environments utilizing Python and setuptools are at risk. Continuous integration/continuous deployment (CI/CD) pipelines that automatically install Python packages are particularly vulnerable, as they could be exploited to inject malicious code into deployed applications. Organizations using custom Python scripts or tools that rely on setuptools for package management should also prioritize remediation.

检测步骤翻译中…

• python / package-manager:

Get-Package -Name setuptools | Select-Object Version

• python / package-manager:

python -m pip show setuptools

• generic web: Check for unusual files or directories created during package installation or upgrade processes. Monitor system logs for suspicious file access attempts. • generic web: Review Python scripts for calls to setuptools functions that handle file paths, looking for potential path traversal vulnerabilities.

攻击时间线

2025-05-17Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.49% (65% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件setuptools

供应商osv

影响范围修复版本

< 78.1.1 – < 78.1.178.1.2

—78.1.1

弱点分类 (CWE)

CWE-22

时间线

已保留2025-05-05
发布日期2025-05-17
修改日期2025-06-13
EPSS 更新日期2026-03-23

披露后-27天发布补丁

缓解措施和替代方案

修复此漏洞的首要措施是升级至 setuptools 78.1.1 或更高版本。如果无法立即升级，可以考虑使用文件系统权限控制来限制 Python 进程的写入权限，从而降低攻击风险。此外，可以实施 Web 应用程序防火墙 (WAF) 或代理服务器，以检测和阻止恶意请求。在升级后，请验证漏洞是否已成功修复，可以通过尝试执行可能触发漏洞的操作来确认。

修复方法翻译中…

Actualice setuptools a la versión 78.1.1 o superior. Puede hacerlo utilizando el gestor de paquetes pip con el comando `pip install --upgrade setuptools`. Esto corregirá la vulnerabilidad de path traversal.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-47273 — RCE 在 setuptools 中?