NLTK-Downloader erlaubt Überschreiben beliebiger Dateien (CVE-2026-33236)

Die beliebte Python-Bibliothek NLTK (Natural Language Toolkit) weist in allen Versionen bis einschliesslich 3.9.2 eine kritische Path-Traversal-Schwachstelle auf. Der NLTK-Downloader prüft beim Verarbeiten von XML-Indexdateien die Attribute subdir und id nicht auf gefährliche Zeichenfolgen wie ../. Ein Angreifer, der einen eigenen XML-Indexserver betreibt, kann dadurch Opfer dazu bringen, beim Ausführen eines scheinbar harmlosen downloader.download()-Aufrufs beliebige Dateien auf deren System zu erstellen oder zu überschreiben – darunter potenziell sensitive Systemdateien wie /etc/passwd oder SSH-Schlüssel.

Bin ich betroffen? Wer NLTK in einem Python-Projekt einsetzt und dabei eigene oder fremde Indexserver nutzt (also nicht ausschliesslich den offiziellen NLTK-Server), ist potenziell gefährdet. Auch automatisierte Pipelines, die NLTK-Daten herunterladen, sollten geprüft werden. Die Schwachstelle erfordert, dass der Angreifer die Kontrolle über den verwendeten Indexserver hat – ein direkter Angriff ohne diesen Umweg ist nicht möglich.

Empfehlung: Ein offizieller Patch existiert derzeit nicht. Bis zur Bereitstellung einer korrigierten Version sollte man ausschliesslich den offiziellen NLTK-Datenserver verwenden und keine Drittanbieter-Indexserver einbinden. In CI/CD-Umgebungen empfiehlt sich ausserdem, NLTK-Downloads in isolierten Containern ohne schreibenden Zugriff auf kritische Systempfade auszuführen. Das Projekt sollte auf GitHub beobachtet werden, da ein Fix erwartet wird.

🔗 GitHub Advisory GHSA-469j-vmhf-r6v7

Related Posts

Kritische ImageMagick-Lücke mit bekanntem Exploit

Am 23. Februar 2026 wurde CVE-2026-23876 veröffentlicht, eine Heap-Buffer-Overflow-Schwachstelle in ImageMagick, die mit CVSS 8.1 als hochgefährlich eingestuft wird. Besonders brisant: Ein funktionsfähiger Proof-of-Concept ist bereits öffentlich verfügbar, was die Angriffsschwelle erheblich senkt und schnelles Handeln notwendig macht.

Read More

Datenpanne bei asgoodasnew – 1,8 Millionen Kunden betroffen

Der deutsche Wiederverkäufer für Elektronik asgoodasnew wurde Anfang März 2026 Opfer eines Hackerangriffs. Über eine Sicherheitslücke in einem Zahlungsmodul eines Drittanbieters erlangten Angreifer Zugang zu Kundendaten – Namen, Adressen, E-Mail-Adressen, verschlüsselte Passwörter und Bestellhistorien von bis zu 1,8 Millionen Personen könnten abgeflossen sein. Das Unternehmen hat reagiert und alle Passwörter vorsorglich zurückgesetzt.

Read More

Gefälschte Windows-11-Werbung auf Facebook verteilt Passwort- und Krypto-Stealer

Angreifer schalten derzeit bezahlte Facebook-Anzeigen, die täuschend echt nach offiziellen Microsoft-Promotionen aussehen. Wer darauf klickt, landet auf einer nahezu perfekten Kopie der Microsoft-Download-Seite – erkennbar nur an der Adresszeile, die Domains wie ms-25h2-download[.]pro oder ms25h2-update[.]pro zeigt statt microsoft.com. Ein Klick auf „Jetzt herunterladen" liefert keinen Windows-Update, sondern einen 75 MB großen Schädling namens ms-update32.exe, der Passwörter, Browser-Sessions und Krypto-Wallet-Daten stiehlt.

Read More