CVE-2026-22702: CWE-59: pypa virtualenv 中文件访问前不当链接解析（“链接跟随”）

严重性: 中等 类型: 漏洞

CVE-2026-22702

virtualenv 是一个用于创建独立虚拟 Python 环境的工具。在 20.36.1 版本之前，virtualenv 中的 TOCTOU（检查时间-使用时间）漏洞允许本地攻击者对目录创建操作执行基于符号链接的攻击。具有本地访问权限的攻击者可以利用目录存在性检查和创建之间的竞争条件，将 virtualenv 的 app_data 和锁文件操作重定向到攻击者控制的位置。此问题已在 20.36.1 版本中修复。

AI 分析

技术总结

CVE-2026-22702 标识了 pypa virtualenv 工具 20.36.1 之前版本中的一个检查时间-使用时间（TOCTOU）竞争条件漏洞。Virtualenv 广泛用于创建独立的 Python 环境，常见于开发和部署流水线中。该漏洞源于文件访问前不当链接解析（CWE-59）与目录创建操作期间的竞争条件（CWE-362）相结合。具体来说，virtualenv 在创建目录之前会对其存在性进行检查，但具有本地访问权限的攻击者可以通过插入符号链接来利用检查和创建之间的时间间隙。这允许将与 app_data 和锁文件相关的关键操作重定向到攻击者控制的位置。影响包括潜在的未经授权的文件修改或删除、干扰环境设置，以及由于锁文件损坏或被操纵而可能导致的拒绝服务。利用此漏洞需要本地访问权限和较高的攻击复杂度，因为攻击者必须精确把握创建符号链接的时机以赢得竞争条件。不需要用户交互，且影响范围仅限于使用易受攻击 virtualenv 版本的系统。该漏洞已公开披露，并在 20.36.1 版本中修复，发布时未发现野外利用。

潜在影响

对于欧洲组织而言，此漏洞的主要影响在于本地权限提升或对开发人员机器、构建服务器或 CI/CD 流水线上 Python 环境设置的破坏。机密性影响有限，但如果攻击者控制的位置包含敏感数据，或者被操纵的环境导致数据暴露，则可能受到影响。完整性可能因环境文件或锁文件的未经授权修改而受损，可能导致恶意代码执行或构建损坏。如果锁文件被操纵以阻止环境创建或使用，则可能影响可用性，从而中断开发工作流。严重依赖 Python 开发的组织，特别是那些拥有多用户系统或共享构建环境的组织，面临的风险更高。该漏洞不支持远程利用，将其影响限制在内部人员或已遭入侵的本地账户。然而，鉴于 virtualenv 在欧洲软件开发中的广泛使用，造成中断以及在网络内横向移动的风险值得注意。

缓解建议

主要的缓解措施是将所有 virtualenv 实例升级到 20.36.1 或更高版本，该版本已修复 TOCTOU 漏洞。组织应对开发和构建系统实施严格的访问控制，以限制本地用户权限，防止未经授权的用户利用竞争条件。实施文件系统监控以检测可疑的符号链接创建或快速的目录更改，可以提供早期预警。使用容器化或沙箱化环境进行构建，可以通过隔离环境创建过程来减少攻击面。此外，教育开发人员和系统管理员了解本地符号链接攻击和竞争条件的风险，可以提高检测和响应能力。建议定期审计已安装的 Python 工具和依赖项是否存在已知漏洞，以维护安全的开发环境。

受影响国家

德国，法国，英国，荷兰，瑞典，芬兰

技术详情

数据版本: 5.2 分配者短名称: GitHub_M 日期预留: 2026-01-08T19:23:09.857Z Cvss 版本: 3.1 状态: 已发布 威胁 ID: 6961f0b8c540fa4b5432b9f7 添加到数据库: 2026年1月10日，上午6:24:56 最后丰富: 2026年1月10日，上午6:39:47 最后更新: 2026年1月12日，上午1:18:52 浏览次数: 39

来源: CVE Database V5 发布时间: 2026年1月10日，星期六