Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Поиск
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2025-47273

Каталоги Уязвимости - CVE CVE-2025-47273
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2025-47273

PUBLISHED 28.05.2025

CNA: GitHub_M

setuptools has a path traversal vulnerability in PackageIndex.download that leads to Arbitrary File Write

Обновлено: 17.05.2025
setuptools is a package that allows users to download, build, install, upgrade, and uninstall Python packages. A path traversal vulnerability in `PackageIndex` is present in setuptools prior to version 78.1.1. An attacker would be allowed to write files to arbitrary locations on the filesystem with the permissions of the process running the Python code, which could escalate to remote code execution depending on the context. Version 78.1.1 fixes the issue.

CWE

Идентификатор Описание
CWE-22 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

БДУ ФСТЭК

Идентификатор Описание
BDU:2025-08604 Уязвимость библиотеки упрощения упаковки проектов setuptools, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю скомпрометировать уязвимую систему

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250908-6 08.09.2025 Выполнение произвольного кода в Ansible Automation Platform 2.5 packages
VULN:20251009-15 09.10.2025 Перезапись произвольных файлов в Multicluster Engine for Kubernetes 2.8

CVSS

Оценка Severity Версия Базовый вектор
7.7 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P

Доп. Информация

Product Status

setuptools
Product: setuptools
Vendor: pypa
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии < 78.1.1 affected
 

Ссылки

https://github.com/pypa/setuptools/security/advisories/GHSA-5rjg-fvgr-3xxf
https://github.com/pypa/setuptools/issues/4946
https://github.com/pypa/setuptools/commit/250a6d17978f9f6ac3ac887091f2d32886fbbb0b
https://github.com/pypa/setuptools/blob/6ead555c5fb29bc57fe6105b1bffc163f56fd558/setuptools/package_index.py#L810C1-L825...

CISA ADP Vulnrichment

Обновлено: 19.05.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
poc yes partial 2.0.3 19.05.2025

Ссылки

https://github.com/pypa/setuptools/issues/4946

CVE Program Container

Обновлено: 28.05.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

https://lists.debian.org/debian-lts-announce/2025/05/msg00035.html
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.