HIGHCVE-2026-32274CVSS 7.5

Black: 未经清理的用户输入导致任意文件写入缓存文件名

Q: 什么是 CVE-2026-32274 — 任意文件访问漏洞在 Black 中?

CVE-2026-32274 是 Black 代码格式化工具中的一个漏洞，攻击者可以通过控制 `--python-cell-magics` 参数的值，将缓存文件写入到任意文件系统位置。

Q: 我是否受到 CVE-2026-32274 在 Black 中影响?

如果您正在使用 Black 26.3.0 或更早版本，则可能受到此漏洞的影响。请立即升级到最新版本。

Q: 我如何修复 CVE-2026-32274 在 Black 中?

升级到 Black 26.3.1 或更高版本可以修复此漏洞。如果无法升级，请限制对 `--python-cell-magics` 选项的访问。

Q: CVE-2026-32274 是否正在被积极利用?

目前尚未公开发现针对此漏洞的利用代码，但存在被利用的风险。

Q: 在哪里可以找到 Black 官方关于 CVE-2026-32274 的公告?

请访问 Black 的官方网站或 GitHub 仓库，查找关于 CVE-2026-32274 的安全公告。

平台

python

组件

black

修复版本

26.3.2

26.3.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-32274 描述了 Black 工具中的一个任意文件访问漏洞。由于格式化选项 --python-cell-magics 的值未经过适当的清理就直接写入文件名，攻击者可以通过控制该参数的值，将缓存文件写入到任意文件系统位置。该漏洞影响 Black 的 26.3.0 及更早版本，已于 Black 26.3.1 版本中修复。

影响与攻击场景

该漏洞允许攻击者在目标系统上执行任意文件写入操作。攻击者可以利用此漏洞覆盖关键系统文件，篡改数据，甚至可能导致代码执行。攻击者控制文件名，意味着他们可以指定写入文件的路径，从而影响整个文件系统。如果攻击者能够写入可执行文件或修改配置文件，则可能获得对系统的完全控制权。此漏洞的潜在影响范围取决于目标系统的配置和权限，但可能导致严重的安全事件。

利用背景

目前尚未公开发现针对此漏洞的利用代码，但由于其允许任意文件写入，因此存在被利用的风险。该漏洞已于 2026 年 3 月 12 日公开披露。建议密切关注安全社区的动态，及时获取最新的威胁情报。

哪些人处于风险中翻译中…

Developers and DevOps teams using Black in automated pipelines or CI/CD systems are particularly at risk. Environments where Black is integrated with third-party tools or services that provide untrusted input to the --python-cell-magics option are also vulnerable. Shared hosting environments where multiple users have access to the Black command-line interface should be carefully reviewed.

检测步骤翻译中…

• python / code formatting:

Get-Process -Name Black | Select-Object -ExpandProperty Path

• python / code formatting: Check for unusual cache files in unexpected locations (e.g., /etc/passwd.black_cache). • python / code formatting: Monitor command-line arguments passed to Black for suspicious paths or characters in the --python-cell-magics option. • python / code formatting: Review Black configuration files for any hardcoded or default values for --python-cell-magics that could be exploited.

攻击时间线

2026-03-12Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.02% (5% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件black

供应商osv

影响范围修复版本

< 26.3.1 – < 26.3.126.3.2

—26.3.1

弱点分类 (CWE)

CWE-22

时间线

已保留2026-03-11
发布日期2026-03-12
修改日期2026-03-16
EPSS 更新日期2026-03-23

披露后0天发布补丁

缓解措施和替代方案

为了缓解此漏洞，建议立即升级到 Black 26.3.1 或更高版本。如果无法立即升级，可以采取以下临时措施：首先，严格限制对 --python-cell-magics 选项的访问，只允许受信任的用户提供输入。其次，实施文件系统访问控制，限制 Black 进程对敏感文件的写入权限。最后，监控文件系统活动，及时发现和响应任何可疑的文件写入操作。升级后，请验证新版本是否已正确安装并修复了漏洞。

修复方法翻译中…

Actualice Black a la versión 26.3.1 o superior. Esto corrige la vulnerabilidad que permite la escritura arbitraria de archivos debido a la falta de sanitización en la opción --python-cell-magics.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-32274 — 任意文件访问漏洞在 Black 中?

CVE-2026-32274 是 Black 代码格式化工具中的一个漏洞，攻击者可以通过控制 --python-cell-magics 参数的值，将缓存文件写入到任意文件系统位置。

我是否受到 CVE-2026-32274 在 Black 中影响?