NLTK nltk.data.load() vulnerável a path traversal via URL encoding

A função nltk.data.load() permite path traversal através de separadores de caminho codificados em URL e segmentos de travessia quando se usa o esquema de URL nltk:. A verificação regex para caminhos inseguros é realizada antes de url2pathname() decodificar sequências percent-encoded, permitindo bypass da proteção.

Todos os usuários de NLTK <= 3.9.4 que passam entrada não confiável para nltk.data.load(), especialmente aplicações web, serviços de notebook hospedados, pipelines de ML multi-inquilino e sistemas CI/CD.

Atualize o NLTK para uma versão corrigida ou aplique uma solução alternativa, como definir ENFORCE=True ou sanitizar a entrada antes de passar para nltk.data.load().