一、 漏洞 CVE-2025-47273 基础信息
漏洞信息
                                        # setuptools在PackageIndex.download中存在路径遍历漏洞,导致任意文件写入

## 漏洞概述
Setuptools 是一个用于下载、构建、安装、升级和卸载 Python 包的软件包。在 `PackageIndex` 中存在路径遍历漏洞,该漏洞允许攻击者以运行 Python 代码进程的权限写入文件系统上的任意位置,这可能导致远程代码执行。

## 影响版本
- setuptools 版本 78.1.1 之前的版本

## 漏洞细节
在 `PackageIndex` 中存在的路径遍历漏洞允许攻击者以运行 Python 代码进程的权限写入任意位置的文件。这种权限滥用可能会导致远程代码执行,尤其是当代码在特权上下文中运行时。

## 影响
此漏洞允许攻击者在受影响的系统上以运行 Python 代码进程的权限写入任意位置的文件,从而可能导致任意代码执行。版本 78.1.1 修复了该问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
setuptools has a path traversal vulnerability in PackageIndex.download that leads to Arbitrary File Write
来源:美国国家漏洞数据库 NVD
漏洞描述信息
setuptools is a package that allows users to download, build, install, upgrade, and uninstall Python packages. A path traversal vulnerability in `PackageIndex` is present in setuptools prior to version 78.1.1. An attacker would be allowed to write files to arbitrary locations on the filesystem with the permissions of the process running the Python code, which could escalate to remote code execution depending on the context. Version 78.1.1 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
setuptools 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
setuptools是PyPI开源的一个 Python 库。 setuptools 78.1.1之前版本存在路径遍历漏洞,该漏洞源于路径遍历,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-47273 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-47273 的情报信息

  • 标题: Path traversal in PackageIndex.download leads to Arbitrary File Write. · Issue #4946 · pypa/setuptools -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Path traversal in PackageIndex.download leads to Arbitrary File Write. · Issue #4946 · pypa/setuptools

  • 标题: Path traversal in PackageIndex.download leads to Arbitrary File Write · Advisory · pypa/setuptools · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Path traversal in PackageIndex.download leads to Arbitrary File Write · Advisory · pypa/setuptools · GitHub

  • 标题: Add a check to ensure the name resolves relative to the tmpdir. · pypa/setuptools@250a6d1 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Add a check to ensure the name resolves relative to the tmpdir. · pypa/setuptools@250a6d1 · GitHub

  • 标题: setuptools/setuptools/package_index.py at 6ead555c5fb29bc57fe6105b1bffc163f56fd558 · pypa/setuptools · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    setuptools/setuptools/package_index.py at 6ead555c5fb29bc57fe6105b1bffc163f56fd558 · pypa/setuptools · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-47273