python-utcp: Full Process Environment Exposed to CLI Subprocess - Secrets Leakage via Command Injection — CVE-2026-45370

GHSA · GitHub · CVE-2026-45370

ID
CVE-2026-45370

Date
2026-05-14

Activity
2026-05-14

Source
GHSA

Fournisseur
GitHub

Risque
high

CVSS
7.7

Résumé

## Summary `_prepare_environment()` in `cli_communication_protocol.py` passes a full copy of `os.environ` to every CLI subprocess. When combined with the Command Injection vulnerability (CWE-78) in `_substitute_utcp_args()` tracked as GHSA-33p6-5jxp-p3x4, an attacker can exfiltrate all process-level secrets in a single tool call. ## Vulnerable Code ```python # cli_communication_protocol.py def…

Produit

pip: utcp-cli

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.