通过“AttributeError.obj”和“string”模块泄露RestrictedPython信息(CVE-2024-47532)
CVE编号
CVE-2024-47532利用情况
暂无补丁情况
N/A披露时间
2024-10-01漏洞描述
RestrictedPython 是一个用于运行不可信代码的受限执行环境。用户可能会通过 AttributeError.obj 和 string 模块间接访问受保护(以及可能敏感)的信息。这个问题将在版本 7.3 中得到修复。作为一种解决方法,如果应用程序不需要访问 string 模块,那么可以从 RestrictedPython.Utilities.utility_builtins 中将其移除,否则不要在受限执行环境中提供它。解决建议
"将组件 restrictedpython 升级至 7.3 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/zopefoundation/RestrictedPython/commit/d701cc36cccac36b21f... | |
| https://github.com/zopefoundation/RestrictedPython/security/advisories/GHSA-5... |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论