Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en uv (CVE-2025-54368)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
08/08/2025
Última modificación:
08/08/2025

Descripción

uv es un gestor de paquetes y proyectos de Python escrito en Rust. En las versiones 0.8.5 y anteriores, los archivos ZIP remotos se gestionaban de forma secuencial y las entradas de archivo no se conciliaban con el directorio central del archivo. Un atacante podría crear un archivo ZIP que extrajera contenido legítimo en algunos instaladores de paquetes y contenido malicioso en otros, debido a múltiples entradas de archivo locales. Un atacante también podría crear una entrada ZIP "apilada" con múltiples ZIP internos, que se gestionarían de forma diferente según el instalador. El atacante podría elegir el instalador objetivo en ambos casos. Este problema se ha corregido en la versión 0.8.6. Para solucionarlo, los usuarios pueden configurar UV_INSECURE_NO_ZIP_VALIDATION=1 para volver al comportamiento anterior.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
6.80
Gravedad 4.0
MEDIA

Referencias a soluciones, herramientas e información