pydantic-settings: NestedSecretsSettingsSource follows symlinks outside secrets_dir, enabling local file read and bypassing secrets_dir_max_size — GHSA-4XGF-CPJX-PC3J
GitHub · GitHub · GHSA-4XGF-CPJX-PC3J
ID
GHSA-4XGF-CPJX-PC3J
GHSA-4XGF-CPJX-PC3J
Datum
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
medium
medium
CVSS
5.3
5.3
Zusammenfassung
### Summary `NestedSecretsSettingsSource` reads secret values from files in a configured `secrets_dir`. When `secrets_nested_subdir=True`, a directory entry inside `secrets_dir` that is a symbolic link pointing **outside** `secrets_dir` is followed, so files outside the configured directory are read into settings values. The same code path bypasses the documented `secrets_dir_max_size` protection. An attacker or…
Produkt
pip: pydantic-settings
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.