GHSA-pr46-2v3c-5356 — high GitHub Advisory (CVE-2026-39847) in pip/emmett

説明

The RSGI static handler for Emmett's internal assets (/__emmett__ paths) is vulnerable to path traversal attacks.

An attacker can use ../ sequences (eg /__emmett__/../rsgi/handlers.py) to read arbitrary files outside the assets directory.

Score	Percentile
0.02%	5.62%

Base score	Version	Severity	Vector
7.5	3.1	—	`CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:N) 改ざん・なりすましによる信頼毀損は軽微か、想定されない。可用性への影響 (A:N) 業務継続に支障が出るレベルの停止や劣化は想定されない。

Type	Value
GHSA	GHSA-pr46-2v3c-5356 ↗
CVE	CVE-2026-39847 ↗

CWE id	Name
CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem	Package	Vulnerable range	First patched	Vulnerable functions
pip	emmett	>= 2.5.0, < 2.8.1	2.8.1	—