pdm: Path traversal em InstallDestination.write_to_fs() permite escrita arbitrária de arquivos
InstallDestination.write_to_fs() em src/pdm/installers/installers.py substitui o método da classe base para adicionar suporte a symlink/hardlink, mas substitui
O que mudou
InstallDestination.write_to_fs() em src/pdm/installers/installers.py substitui o método da classe base para adicionar suporte a symlink/hardlink, mas substitui o seguro _path_with_destdir() (que valida via Path.resolve() + is_relative_to()) por um os.path.join() simples sem validação de caminho. Um wheel malicioso com entradas de traversal pode escrever arquivos arbitrários.
Quem isso afeta
Usuários de pdm que instalam pacotes de fontes não confiáveis, pois um wheel malicioso pode escrever arquivos arbitrários via path traversal.
O que fazer hoje
Aplique o fix do pull request #3787 imediatamente, ou evite instalar wheels não confiáveis até que a correção seja aplicada.