One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8376917 |
| Date de publication | 2023-08-30 18:15:09 (vue: 2023-08-30 21:06:51) |
| Titre | CVE-2023-41039 |
| Texte | RestrictedPython est un environnement d'exécution restreint permettant à Python d'exécuter du code non fiable.La fonctionnalité "format" de Python permet à quelqu'un contrôlant la chaîne de format de "lire" tous les objets accessibles via la recherche d'attributs récursifs et l'abonnement à partir des objets auxquels il peut accéder.Cela peut conduire à la divulgation d’informations critiques.Avec `RestrictedPython`, la fonctionnalité de format est disponible via les méthodes `format` et `format_map` de `str` (et `unicode`) (accessibles via la classe ou ses instances) et via `string.Formatter`.Toutes les versions connues de « RestrictedPython » sont vulnérables.Ce problème a été résolu dans le commit `4134aedcff1` qui a été inclus dans les versions 5.4 et 6.2.Il est conseillé aux utilisateurs de mettre à niveau.Il n’existe aucune solution de contournement connue pour cette vulnérabilité.
RestrictedPython is a restricted execution environment for Python to run untrusted code. Python\'s "format" functionality allows someone controlling the format string to "read" all objects accessible through recursive attribute lookup and subscription from objects he can access. This can lead to critical information disclosure. With `RestrictedPython`, the format functionality is available via the `format` and `format_map` methods of `str` (and `unicode`) (accessed either via the class or its instances) and via `string.Formatter`. All known versions of `RestrictedPython` are vulnerable. This issue has been addressed in commit `4134aedcff1` which has been included in the 5.4 and 6.2 releases. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 41039 `4134aedcff1` `format `format` `restrictedpython` `str` `string `unicode` access accessed accessible addressed advised all allows are attribute available been can class code commit controlling critical cve disclosure either environment execution format formatter` from functionality has included information instances issue its known lead lookup map` methods objects python read recursive releases restricted restrictedpython run someone string subscription through untrusted upgrade users versions vulnerability vulnerable which workarounds |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.