Vulnerabilidad en jaraco.context (CVE-2026-23949)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
20/01/2026
Última modificación:
11/03/2026
Descripción
jaraco.context, un paquete de software de código abierto que proporciona algunos decoradores y gestores de contexto útiles, tiene una vulnerabilidad de recorrido de ruta Zip Slip en la función `jaraco.context.tarball()` a partir de la versión 5.2.0 y anterior a la versión 6.1.0. La vulnerabilidad puede permitir a los atacantes extraer archivos fuera del directorio de extracción previsto cuando se procesan archivos tar maliciosos. El filtro strip_first_component divide la ruta en la primera barra «/» y extrae el segundo componente, al tiempo que permite secuencias «../». Las rutas como «dummy_dir/../../etc /passwd» se convierten en «../../etc /passwd». Tenga en cuenta que esto también sufre un ataque de archivo tar anidado con archivos tar de varios niveles, como `dummy_dir/inner.tar.gz`, donde inner.tar.gz incluye un recorrido `dummy_dir/../../config/.env` que también se traduce a `../../config/.env`. La versión 6.1.0 contiene un parche para el problema.
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jaraco:jaraco.context:*:*:*:*:*:python:*:* | 5.2.0 (incluyendo) | 6.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/jaraco/jaraco.context/blob/main/jaraco/context/__init__.py#L74-L91
- https://github.com/jaraco/jaraco.context/commit/7b26a42b525735e4085d2e994e13802ea339d5f9
- https://github.com/jaraco/jaraco.context/security/advisories/GHSA-58pv-8j8x-9vj2
- https://github.com/pypa/setuptools/blob/main/setuptools/_vendor/jaraco/context.py#L55-L76