CVE-2026-33236 是一个路径遍历漏洞,影响到 NLTK (Natural Language Toolkit) 的版本小于或等于 3.9.2。该漏洞允许攻击者通过控制远程 XML 索引文件,在文件系统中创建或覆盖任意文件,可能导致系统安全风险。该漏洞于2026年3月19日公开,建议用户尽快升级到安全版本或采取相应的缓解措施。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用该漏洞在服务器上创建任意目录,并创建或覆盖任意文件。这可能包括覆盖关键系统文件,例如 /etc/passwd 或 ~/.ssh/authorized_keys,从而完全控制受影响的系统。此外,攻击者还可以利用该漏洞读取敏感信息,例如配置文件或数据库内容。由于NLTK广泛应用于自然语言处理任务,该漏洞可能影响到大量应用程序和系统,造成广泛的安全风险。
目前,该漏洞的公开利用情况尚不明确。该漏洞已于2026年3月19日公开,但尚未观察到大规模的利用活动。由于该漏洞的严重性较高,建议密切关注安全社区的动态,并及时采取相应的安全措施。该漏洞可能被添加到 CISA KEV 目录中,以便更好地跟踪和响应。
Systems running NLTK versions 3.9.2 and earlier are at risk, particularly those where the NLTK downloader is exposed to untrusted XML index servers. Development environments and automated build pipelines that utilize NLTK are also potential targets.
• python / nltk:
import os
import hashlib
def check_nltk_version():
import nltk
version = nltk.version.version
if version <= '3.9.2':
print(f"NLTK version {version} is vulnerable to CVE-2026-33236.")
else:
print(f"NLTK version {version} is not vulnerable.")
check_nltk_version()• generic web: Monitor access logs for requests to NLTK download endpoints containing path traversal sequences (e.g., ../).
• generic web: Check for unexpected files or directories created in system directories.
disclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
为了缓解 CVE-2026-33236 的风险,首要措施是升级到 NLTK 的安全版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 NLTK 下载器的访问权限,只允许从受信任的来源下载 XML 索引文件;对 XML 索引文件进行严格的输入验证,防止路径遍历攻击;使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求。升级后,请验证 NLTK 下载器不再允许创建或覆盖任意文件。
Actualice la biblioteca NLTK a una versión posterior a 3.9.3. Esto se puede hacer utilizando el gestor de paquetes pip: `pip install --upgrade nltk`.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33236 是一个路径遍历漏洞,影响到 NLTK (Natural Language Toolkit) 的版本小于或等于 3.9.2。攻击者可以利用该漏洞在文件系统中创建或覆盖任意文件。
如果您正在使用 NLTK 的版本小于或等于 3.9.2,则可能受到该漏洞的影响。请立即检查您的 NLTK 版本,并采取相应的缓解措施。
建议升级到 NLTK 的安全版本。如果无法立即升级,可以考虑限制 NLTK 下载器的访问权限,并对 XML 索引文件进行严格的输入验证。
目前,该漏洞的公开利用情况尚不明确,但由于其严重性,建议密切关注安全社区的动态。
请访问 nltk 的官方网站或 GitHub 仓库,查找有关 CVE-2026-33236 的安全公告。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。