VULHUB ™

Pipenv是一个工具，旨在将所有打包世界中最好的（打包程序、作曲家、npm、货物、纱线等）带到 Python 世界。 pipenv存在安全漏洞，该漏洞源于允许攻击者在 requirements.txt 文件中的任何位置的注释中插入特制字符串，这将导致使用 pipenv 的受害者安装需求文件以从攻击者控制的包索引服务器下载依赖项。通过在恶意索引服务器提供的包中嵌入恶意代码，攻击者可以在受害者的系统上触发任意远程代码执行 (RCE)。

Pipenv是一个工具，旨在将所有打包世界中最好的（打包程序、作曲家、npm、货物、纱线等）带到 Python 世界。 pipenv存在安全漏洞，该漏洞源于允许攻击者在 requirements.txt 文件中的任何位置的注释中插入特制字符串，这将导致使用 pipenv 的受害者安装需求文件以从攻击者控制的包索引服务器下载依赖项。通过在恶意索引服务器提供的包中嵌入恶意代码，攻击者可以在受害者的系统上触发任意远程代码执行 (RCE)。