Vulnerabilidade antiga no Python atingiria mais de 350 mil projetos
A falha está presente em códigos que utilizam a função tarfile.extractall()
ou tarfile.extract()
de forma não-sanitizada, permitindo que um invasor sobrescreva arquivos arbitrariamente.
O problema foi divulgado em 2007 (CVE-2007-4559), mas nunca recebeu um patch – a única atenuação oferecida foi uma atualização na documentação alertando desenvolvedores sobre o risco.
Embora não haver relatos de ataques através do bug, ele representa um risco do tipo supply chain. na cadeia de fornecimento de software.
Pesquisadores da Trellix redescobriram a vulnerabilidade recentemente e estaria presente em milhares de projetos de software, tanto de código aberto quanto fechado.