Remote Code Execution in pypa/setuptools (CVE-2024-6345)

admin 2024-07-15 15:44:48 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Remote Code Execution in pypa/setuptools (CVE-2024-6345)

CVE编号

CVE-2024-6345

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-15
漏洞描述
在pypa/setuptools的package_index模块中,存在一个漏洞,允许通过其下载功能执行远程代码。这些下载功能用于从用户提供的URL或包索引服务器检索的URL下载软件包,容易受到代码注入攻击。如果这些功能暴露给用户控制的输入,如软件包URL,它们可以在系统上执行任意命令。此问题已在版本70.0中得到修复。
解决建议
"将组件 pypa/setuptools 升级至 70.0 及以上版本"
参考链接
https://github.com/pypa/setuptools/commit/88807c7062788254f654ea8c03427adc859321f0
https://huntr.com/bounties/d6362117-ad57-4e83-951f-b8141c6e7ca5
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-94 对生成代码的控制不恰当(代码注入)
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0