Source |
CVE Liste |
Identifiant |
8400541 |
Date de publication |
2023-10-25 18:17:44 (vue: 2023-10-25 22:08:16) |
Titre |
CVE-2023-5752 |
Texte |
Lors de l'installation d'un package à partir d'une URL Mercurial VCS (c'est-à-dire "
Hg + ... ") avec PIP avant V23.3, la révision mercurielle spécifiée pourrait
être utilisé pour injecter des options de configuration arbitraires au "clone Hg"
Appelez (c'est-à-dire "- Config").Le contrôle de la configuration mercurielle peut modifier
comment et quel référentiel est installé.Cette vulnérabilité ne
affecter les utilisateurs qui ne sont pas installés à partir de Mercurial.
When installing a package from a Mercurial VCS URL (ie "pip install
hg+...") with pip prior to v23.3, the specified Mercurial revision could
be used to inject arbitrary configuration options to the "hg clone"
call (ie "--config"). Controlling the Mercurial configuration can modify
how and which repository is installed. This vulnerability does not
affect users who aren\'t installing from Mercurial. |
Envoyé |
Oui |
Condensat |
2023 5752 affect arbitrary aren call can clone config configuration controlling could cve does from hg+ how inject install installed installing mercurial modify not options package pip prior repository revision specified url used users v23 vcs vulnerability when which who |
Tags |
Vulnerability
|
Stories |
|
Notes |
|
Move |
|