python · pdmAtenção
PDM: escrita de arquivos de configuração sem proteção contra symlinks
PDM escreve arquivos de estado/configuração locais do projeto (pdm.
O que mudou
PDM escreve arquivos de estado/configuração locais do projeto (pdm.toml, .pdm-python, .python-version) sem proteção contra symlinks, permitindo sobrescrita arbitrária de arquivos se um repositório malicioso colocar esses arquivos como symlinks.
Quem isso afeta
Usuários executando comandos PDM (ex.: `pdm config -l`) em repositórios controlados por atacantes, especialmente quando o PDM é executado com privilégios elevados.
O que fazer hoje
Revise e aplique a correção recomendada: recuse escrever arquivos de configuração/estado locais do projeto quando o destino for um symlink, use lstat e O_NOFOLLOW, e use substituição atômica por arquivo temporário após confirmar que o destino é um arquivo regular.
A esteira
Coletado→
Auditado→
Redigido→
Publicado