发布日期：2026-02-02
更新日期：2026-05-15

受影响系统：

Python Packaging Authority pip

描述：

---

CVE(CAN) ID: CVE-2026-1703

pip是Python Packaging Authority开源的一个Python包安装程序。
pip存在路径遍历漏洞，该漏洞源于当pip安装并解压恶意构造的wheel压缩包时，部分文件会被解压到安装目录之外，攻击者可利用该漏洞构造包含../序列的路径，使文件被解压到预期的安装目录之外。


<**>

建议：

---

厂商补丁：

Python Packaging Authority
--------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/pypa/pip/commit/8e227a9be4faa9594e05d02ca05a413a2a4e7735

浏览次数：38
严重程度：0（网友投票）