https://blog.qife122.com/tags/cve-2025-68146/ Recent content in CVE-2025-68146 on 办公AI智能小助手 Hugo zh-cn qife Mon, 29 Dec 2025 01:40:03 +0800 https://blog.qife122.com/p/python-filelock%E5%BA%93%E4%B8%AD%E7%9A%84toctou%E7%AB%9E%E4%BA%89%E6%9D%A1%E4%BB%B6%E6%BC%8F%E6%B4%9Ecve-2025-68146%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ Mon, 29 Dec 2025 01:40:03 +0800 https://blog.qife122.com/p/python-filelock%E5%BA%93%E4%B8%AD%E7%9A%84toctou%E7%AB%9E%E4%BA%89%E6%9D%A1%E4%BB%B6%E6%BC%8F%E6%B4%9Ecve-2025-68146%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ <h1 id="cve-2025-68146-cwe-367-tox-dev-filelock中的时间检查与使用时间toctou竞争条件">CVE-2025-68146: CWE-367: tox-dev filelock中的时间检查与使用时间（TOCTOU）竞争条件</h1> <p><strong>严重性：</strong> 中等 <strong>类型：</strong> 漏洞 <strong>CVE编号：</strong> CVE-2025-68146</p> <p>filelock是一个Python的跨平台文件锁。在3.20.1之前的版本中，存在一个时间检查与使用时间（TOCTOU）竞争条件，允许本地攻击者通过符号链接攻击破坏或截断任意用户文件。该漏洞存在于Unix和Windows的锁文件创建过程中，即filelock在打开文件（使用<code>O_TRUNC</code>标志）之前会检查文件是否存在。攻击者可以在检查与打开之间的时间间隙内创建一个指向受害者文件的符号链接，导致<code>os.open()</code>跟随该符号链接并截断目标文件。所有在Unix、Linux、macOS和Windows系统上使用filelock的用户都会受到影响。该漏洞会波及到依赖库。攻击需要本地文件系统访问权限以及创建符号链接的能力（在Unix上具有标准用户权限即可；在Windows 10+上需要启用开发者模式）。当锁文件路径可预测时，攻击通常在1-3次尝试内即可成功。该问题已在3.20.1版本中修复。</p>