Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Python
(3.10.0, 3.10.3, 3.11.0a1, 3.11.0b1, 3.5.0, 3.7.13, 3.8.0, 3.8.13, 3.9.0, 3.9.11)
Описание
Уязвимость в Python, связанная с недостаточным обеспечением безопасности пути поиска, позволяет злоумышленникам, действующим локально, повысить уровень своих привилегий. Для эксплуатации уязвимости необходимо, чтобы администратор при установке Python выбрал опции "Установить для всех пользователей" и "Добавить Python в PATH". Пользователь, не являющийся администратором, может запустить восстановление программы, при котором в PATH будут добавлены пути к доступным для записи каталогам злоумышленника, что позволит подменить пути поиска для других пользователей и системных служб.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.python.org/
https://www.python.org/
Ссылки
Источник: CVE
Наименование: CVE-2022-26488
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26488
https://mail.python.org/archives/list/security-announce@python.org/thread/657Z4XULWZNIY5FRP3OWXHYKUSIH6DMN/
Наименование: CVE-2022-26488
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26488
https://mail.python.org/archives/list/security-announce@python.org/thread/657Z4XULWZNIY5FRP3OWXHYKUSIH6DMN/