CVE-2026-3087

CVE-2026-3087 es una vulnerabilidad en la función shutil.unpack_archive() de Python que permite a un atacante extraer archivos de un archivo ZIP con un camino absoluto en sistemas Windows, lo que podría permitir acceso no autorizado al sistema de archivos.

Descripción de la Vulnerabilidad

La vulnerabilidad surge cuando shutil.unpack_archive() recibe un archivo ZIP que contiene un camino absoluto con una letra de unidad (ej: C:\\...). En este caso, el archivo se extrae fuera del directorio objetivo, un comportamiento diferente al observado en otros sistemas operativos. Solo Windows está afectado debido a la manejar de rutas absolutas en esta función.

Sistemas Afectados

La vulnerabilidad afecta solo sistemas Windows, específicamente cuando se utiliza la función shutil.unpack_archive() en aplicaciones basadas en Python. No está documentada para otros sistemas operativos como Linux o macOS.

Impacto y Explotabilidad

La calificación CVSS de 7.5 (ALTA) refleja el potencial de daño. Un atacante podría explotar esta vulnerabilidad para acceder a archivos sensibles fuera del contexto original, lo que podría llevar a una escalada de privilegios o robo de datos. La explotación requiere la presentación de un archivo ZIP malicioso con un camino absoluto.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles para este CVE.

Mitigación y Parches

Se recomienda actualizar a versiones de Python posterior al 3.10, donde se haya corregido la vulnerabilidad. En el caso de no poder aplicar parches, se sugiere evitar el uso de shutil.unpack_archive() con archivos ZIP de origen desconocido o validar estrictamente los rutas en aplicaciones críticas.