通过“AttributeError.obj”和“string”模块泄露RestrictedPython信息(CVE-2024-47532)

admin 2024-10-03 16:11:01 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
通过“AttributeError.obj”和“string”模块泄露RestrictedPython信息(CVE-2024-47532)

CVE编号

CVE-2024-47532

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-01
漏洞描述
RestrictedPython 是一个用于运行不可信代码的受限执行环境。用户可能会通过 AttributeError.obj 和 string 模块间接访问受保护(以及可能敏感)的信息。这个问题将在版本 7.3 中得到修复。作为一种解决方法,如果应用程序不需要访问 string 模块,那么可以从 RestrictedPython.Utilities.utility_builtins 中将其移除,否则不要在受限执行环境中提供它。
解决建议
"将组件 restrictedpython 升级至 7.3 及以上版本"
参考链接
https://github.com/zopefoundation/RestrictedPython/commit/d701cc36cccac36b21f...
https://github.com/zopefoundation/RestrictedPython/security/advisories/GHSA-5...
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-200 信息暴露
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-46540利用情况 暂无补丁情况 N/A披露时间 2024-10-01漏洞描述在Emlog Pro v2.3.15之前的
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-46548利用情况 暂无补丁情况 N/A披露时间 2024-10-01漏洞描述TP-Link的Tapo P125M和Ka
评论:0   参与:  0