https://blog.qife122.com/tags/cve-2026-22702/ Recent content in CVE-2026-22702 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 10:12:59 +0800 https://blog.qife122.com/p/%E8%99%9A%E6%8B%9F%E7%8E%AF%E5%A2%83%E5%88%9B%E5%BB%BA%E5%B7%A5%E5%85%B7-virtualenv-%E4%B8%AD%E7%9A%84-toctou-%E7%AB%9E%E4%BA%89%E6%9D%A1%E4%BB%B6%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Mon, 12 Jan 2026 10:12:59 +0800 https://blog.qife122.com/p/%E8%99%9A%E6%8B%9F%E7%8E%AF%E5%A2%83%E5%88%9B%E5%BB%BA%E5%B7%A5%E5%85%B7-virtualenv-%E4%B8%AD%E7%9A%84-toctou-%E7%AB%9E%E4%BA%89%E6%9D%A1%E4%BB%B6%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2026-22702-cwe-59-pypa-virtualenv-中文件访问前不当链接解析链接跟随">CVE-2026-22702: CWE-59: pypa virtualenv 中文件访问前不当链接解析（“链接跟随”）</h1> <p><strong>严重性</strong>: 中等 <strong>类型</strong>: 漏洞</p> <h2 id="cve-2026-22702">CVE-2026-22702</h2> <p>virtualenv 是一个用于创建独立虚拟 Python 环境的工具。在 20.36.1 版本之前，virtualenv 中的 TOCTOU（检查时间-使用时间）漏洞允许本地攻击者对目录创建操作执行基于符号链接的攻击。具有本地访问权限的攻击者可以利用目录存在性检查和创建之间的竞争条件，将 virtualenv 的 <code>app_data</code> 和锁文件操作重定向到攻击者控制的位置。此问题已在 20.36.1 版本中修复。</p> https://blog.qife122.com/p/cve-2026-22702pypa-virtualenv-%E4%B8%AD-toctou-%E7%AB%9E%E6%80%81%E6%9D%A1%E4%BB%B6%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ Sun, 11 Jan 2026 11:45:23 +0800 https://blog.qife122.com/p/cve-2026-22702pypa-virtualenv-%E4%B8%AD-toctou-%E7%AB%9E%E6%80%81%E6%9D%A1%E4%BB%B6%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ <h1 id="cve-2026-22702-cwe-59-pypa-virtualenv-中文件访问前链接解析不当导致的漏洞">CVE-2026-22702: CWE-59: pypa virtualenv 中文件访问前链接解析不当导致的漏洞</h1> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2026-22702">CVE-2026-22702</h2> <p>virtualenv 是一个用于创建独立的虚拟 Python 环境的工具。在 20.36.1 版本之前，virtualenv 中存在 TOCTOU（检查时间-使用时间）漏洞，允许本地攻击者在目录创建操作中执行基于符号链接的攻击。具有本地访问权限的攻击者可以利用目录存在性检查与创建之间的竞态条件，将 virtualenv 的 <code>app_data</code> 和锁文件操作重定向到攻击者控制的位置。此问题已在 20.36.1 版本中修复。</p>