Python Multiprocessing 模块远程代码执行漏洞(CVE-2020-10796)
CVE编号
CVE-2020-10796利用情况
暂无补丁情况
N/A披露时间
2022-07-22漏洞描述
multiprocessing包是Python中的多进程管理包。其Manager类提供了一种创建共享数据的方法,从而可以在不同进程中共享,甚至可以通过网络跨机器共享数据。Manager维护一个用于管理共享对象的服务。其他进程可以通过代理访问这些共享对象。 此漏洞的成因为:multiprocessing模块中的Manager和ManagerBase的默认序列化参数是pickle,默认使用pickle来序列化和反序列化RPC通信。当服务器接受了通信请求,会调用pickle.loads函数来反序列化请求内容。攻击者可以通过向服务器发送恶意payload注入代码、触发此漏洞。成功利用此漏洞的攻击者可在受害主机上执行任意代码。 此漏洞已有POC公开: https://github.com/RGDZ-GZU/Python-Remote-code-exec解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://ti.qianxin.com/vulnerability/detail/59342 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论