Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2024-9287

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2024-9287
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2024-9287

PUBLISHED 31.01.2025

CNA: PSF

Virtual environment (venv) activation scripts don't quote paths

Обновлено: 31.01.2025
A vulnerability has been found in the CPython `venv` module and CLI where path names provided when creating a virtual environment were not quoted properly, allowing the creator to inject commands into virtual environment "activation" scripts (ie "source venv/bin/activate"). This means that attacker-controlled virtual environments are able to run commands when the virtual environment is activated. Virtual environments which are not created by an attacker or which aren't activated before being used (ie "./venv/bin/python") are not affected.

CWE

Идентификатор Описание
CWE-428 CWE-428 Unquoted Search Path

БДУ ФСТЭК

Идентификатор Описание
BDU:2025-03332 Уязвимость модуля cpython языка программирования Python, позволяющая нарушителю нарушить выполнить произвольный код

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250409-7 09.04.2025 Повышение привилегий в Dell VxRail Appliance
VULN:20250716-1 16.07.2025 Выполнение произвольного кода в MySQL Workbench

CVSS

Оценка Severity Версия Базовый вектор
5.3 MEDIUM 4.0 CVSS:4.0/AV:L/AC:L/AT:P/PR:H/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/U:Green

Доп. Информация

Product Status

CPython
Product: CPython
Vendor: Python Software Foundation
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 0 до 3.9.21 affected
Наблюдалось в версиях от 3.10.0 до 3.10.16 affected
Наблюдалось в версиях от 3.11.0 до 3.11.11 affected
Наблюдалось в версиях от 3.12.0 до 3.12.8 affected
Наблюдалось в версиях от 3.13.0 до 3.13.1 affected
Наблюдалось в версиях от 3.14.0a1 до 3.14.0a2 affected
 

Ссылки

https://github.com/python/cpython/issues/124651
https://github.com/python/cpython/pull/124712
https://mail.python.org/archives/list/security-announce@python.org/thread/RSPJ2B5JL22FG3TKUJ7D7DQ4N5JRRBZL/
https://github.com/python/cpython/commit/e52095a0c1005a87eed2276af7a1f2f66e2b6483
https://github.com/python/cpython/commit/633555735a023d3e4d92ba31da35b1205f9ecbd7
https://github.com/python/cpython/commit/8450b2482586857d689b6658f08de9c8179af7db
https://github.com/python/cpython/commit/9286ab3a107ea41bd3f3c3682ce2512692bdded8
https://github.com/python/cpython/commit/ae961ae94bf19c8f8c7fbea3d1c25cc55ce8ae97
https://github.com/python/cpython/commit/d48cc82ed25e26b02eb97c6263d95dcaa1e9111b

CISA ADP Vulnrichment

Обновлено: 22.10.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no total 2.0.3 22.10.2024
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.