Remote Code Execution in pypa/setuptools (CVE-2024-6345)
CVE编号
CVE-2024-6345利用情况
暂无补丁情况
N/A披露时间
2024-07-15漏洞描述
在pypa/setuptools的package_index模块中,存在一个漏洞,允许通过其下载功能执行远程代码。这些下载功能用于从用户提供的URL或包索引服务器检索的URL下载软件包,容易受到代码注入攻击。如果这些功能暴露给用户控制的输入,如软件包URL,它们可以在系统上执行任意命令。此问题已在版本70.0中得到修复。解决建议
"将组件 pypa/setuptools 升级至 70.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/pypa/setuptools/commit/88807c7062788254f654ea8c03427adc859321f0 | |
| https://huntr.com/bounties/d6362117-ad57-4e83-951f-b8141c6e7ca5 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-94 | 对生成代码的控制不恰当(代码注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论