Python filelock TOCTOU竞争条件漏洞深度解析与缓解指南

Mon, 12 Jan 2026 11:42:04 +0800

CVE-2026-22701: CWE-59: tox-dev filelock 中的链接解析不当漏洞（链接跟随） - 实时威胁情报

严重性：中 类型：漏洞

CVE-2026-22701 filelock 是一个平台无关的 Python 文件锁。在 3.20.3 版本之前，filelock 包的 SoftFileLock 实现中存在一个 TOCTOU 竞争条件漏洞。具有本地文件系统访问权限和创建符号链接权限的攻击者可以利用权限验证和文件创建之间的竞争条件，导致锁操作失败或行为异常。该漏洞发生在 _acquire() 方法中的 raise_on_not_writable_file() （权限检查）和 os.open() （文件创建）之间。在此竞争窗口内，攻击者可以在锁文件路径处创建一个符号链接，可能导致锁操作非预期的目标文件，或导致拒绝服务。此问题已在 3.20.3 版本中修复。

Python filelock库中的TOCTOU竞争条件漏洞CVE-2025-68146深度剖析

Mon, 29 Dec 2025 01:40:03 +0800

CVE-2025-68146: CWE-367: tox-dev filelock中的时间检查与使用时间（TOCTOU）竞争条件

严重性： 中等 类型： 漏洞 CVE编号： CVE-2025-68146

filelock是一个Python的跨平台文件锁。在3.20.1之前的版本中，存在一个时间检查与使用时间（TOCTOU）竞争条件，允许本地攻击者通过符号链接攻击破坏或截断任意用户文件。该漏洞存在于Unix和Windows的锁文件创建过程中，即filelock在打开文件（使用O_TRUNC标志）之前会检查文件是否存在。攻击者可以在检查与打开之间的时间间隙内创建一个指向受害者文件的符号链接，导致os.open()跟随该符号链接并截断目标文件。所有在Unix、Linux、macOS和Windows系统上使用filelock的用户都会受到影响。该漏洞会波及到依赖库。攻击需要本地文件系统访问权限以及创建符号链接的能力（在Unix上具有标准用户权限即可；在Windows 10+上需要启用开发者模式）。当锁文件路径可预测时，攻击通常在1-3次尝试内即可成功。该问题已在3.20.1版本中修复。

文件锁 on 办公AI智能小助手

Python filelock TOCTOU竞争条件漏洞深度解析与缓解指南

CVE-2026-22701: CWE-59: tox-dev filelock 中的链接解析不当漏洞（链接跟随） - 实时威胁情报

Python filelock库中的TOCTOU竞争条件漏洞CVE-2025-68146深度剖析

CVE-2025-68146: CWE-367: tox-dev filelock中的时间检查与使用时间（TOCTOU）竞争条件