Fallos CVE de Ipython de Ipython. Errores CVE en Ipython de Ipython.
IPython (Python interactivo) es un shell de comandos para computación interactiva en múltiples lenguajes de programación, desarrollado originalmente para el lenguaje de programación Python.
11 de febrero del 2023
- CVE-2023-24816 : Las versiones anteriores a la 8.1.0 están sujetas a una vulnerabilidad de inyección de comandos con requisitos previos muy específicos.
- Esta vulnerabilidad requiere que se llame a la función `IPython.utils.terminal.set_term_title` en Windows en un entorno de Python donde ctypes no está disponible.
- La dependencia de `ctypes` en `IPython.utils._process_win32` evita que se alcance el código vulnerable en el binario de ipython. Sin embargo, como una biblioteca que podría ser utilizada por otra herramienta, se podría llamar a `set_term_title` y, por lo tanto, introducir una vulnerabilidad.
- Si un atacante obtiene una entrada no confiable para una instancia de esta función, podría inyectar comandos de shell como proceso actual y limitado al alcance del proceso actual.
- Se recomienda a los usuarios de ipython como biblioteca que actualicen. Los usuarios que no puedan actualizar deben asegurarse de que todas las llamadas a la función `IPython.utils.terminal.set_term_title` se realicen con una entrada filtrada o de confianza.
Sitios de referencia
- CVE-2023-24816
https://github.com/ipython/ipython/blob/56e6925dfa50e2c7f4a6471547b8176275db7c25/IPython/utils/_process_win32.py#L20
Otras paginas de vulnerabilidades CVE
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-13. Fecha publicación el 2023-02-13. Autor: Oscar olg Mapa del sitio Fuente: cve report