## pytest 9.0.2 UNIX 版本存在本地权限提升与拒绝服务漏洞 (CVE-2025-71176)
Python 生态中广泛使用的测试框架 `pytest` 被曝存在一个中等严重性的安全漏洞，影响 UNIX 系统上的特定版本。该漏洞源于 `pytest` 对临时目录 `/tmp/pytest-of-{user}` 的处理方式存在缺陷，可能允许本地用户发起拒绝服务攻击，甚至提升权限。漏洞编号为 CVE-2025-71176 和 GHSA-6w46-j5rx-g56g，直接影响 `pytest` 9.0.2 及之前版本。开发团队已发布修复版本 9.0.3，但大量依赖 `requirements.txt` 等清单文件的项目仍面临潜在风险。

该漏洞的核心在于 `pytest` 在 UNIX 系统上创建和使用临时目录的模式。攻击者可以利用这一已知的目录命名模式，干扰测试进程或进行权限操作。虽然被标记为“中等”严重性，但其“本地用户”的攻击前提意味着在共享开发环境、持续集成服务器或容器化构建环境中，风险会显著增加。依赖自动化测试流程的团队需要立即评估其依赖版本。

对于使用 `pytest` 作为核心测试工具的项目而言，此漏洞带来了直接的安全与运维压力。未及时升级至 9.0.3 版本的项目，其构建和测试环境可能面临服务中断或被滥用的风险。开发者和安全团队应优先审查项目依赖，通过 Dependabot 等工具监控此类警报，并尽快应用安全补丁，以保障开发流水线的完整性与安全性。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 安全漏洞, Python, 软件开发, CVE, 依赖管理
- **Credibility**: unverified
- **Published**: 2026-04-14 17:22:41
- **ID**: 64101
- **URL**: https://whisperx.ai/en/intel/64101