关键漏洞信息 漏洞名称: TOCTOU Vulnerabilities in Directory Creation CVE ID: CVE-2026-22702 严重性: Moderate (4.5/10) 影响 TOCTOU (Time-of-Check-Time-of-Use) 漏洞允许本地攻击者在目录创建操作中进行符号链接攻击。具有本地访问权限的攻击者可利用目录存在检查和创建之间的竞态条件,将 virtualenv 的 app_data 和锁文件操作重定向到攻击者控制的位置。 影响版本 受影响的版本: <20.36.1 修复版本: 20.36.1 攻击场景 缓存投毒: 攻击者篡改缓存中的 wheel 或 Python 元数据。 信息泄露: 攻击者读取敏感的缓存数据或元数据。 锁定绕过: 攻击者控制锁文件语义,导致并发访问违规。 拒绝服务: 锁定使虚拟环境不可用。 修复措施 漏洞通过用原子操作 替换检查-执行模式来修复。 版本修复 修复于: 版本 20.36.2 及以上。 建议措施: 用户应升级到 20.36.2 或更高版本。 权宜之计 如果无法立即升级: 1. 确保 指向当前用户拥有的具有限制权限的目录。 2. 避免在其他用户具有写入权限的共享临时目录中运行 virtualenv。 3. 使用不同的用户帐户来隔离 app_data 目录。 引用 [GitHub PR]: #3013 报告漏洞者: @tsigouris007 相关CWE: - CWE-362: 使用共享资源进行并发执行且同步不当(TOCTOU) - CWE-59: 文件访问前解析链接不正确