CVE-2023-24816 in IPythonالمعلومات

الملخص

بحسب VulDB • 09/06/2026

تُعد IPython (بايثون التفاعلي) غلافًا للأوامر مخصصًا للحوسبة التفاعلية عبر لغات برمجة متعددة، وقد تم تطويره في الأصل للغة البرمجة بايثون. تتعرض الإصدارات السابقة للإصدار 8.1.0 لثغرة حقن الأوامر التي تتطلب شروطًا مسبقة محددة للغاية. وتتطلب هذه الثغرة استدعاء الدالة `IPython.utils.terminal.set_term_title` على نظام ويندوز في بيئة بايثون حيث لا تكون مكتبة ctypes متاحة. يمنع الاعتماد على `ctypes` داخل `IPython.utils._process_win32` الوصول إلى الكود الضعيف أبدًا عند تشغيل ثنائي ipython (البرنامج التنفيذي). ومع ذلك، وبما أن هذه الدالة يمكن استخدامها كجزء من مكتبة بواسطة أدوات أخرى، فقد يتم استدعاء `set_term_title` وبالتالي إدخال ثغرة أمنية. في حال تمكن مهاجم من تزويد مثيل لهذه المدخلات غير الموثوقة، فسيتمكن من حقن أوامر shell لتنفيذها بصلاحيات العملية الحالية، مع تقييد نطاق التأثير على حدود هذه العملية فقط. يُنصح مستخدمو ipython كمكتبة بالترقية إلى أحدث إصدار. أما المستخدمون الذين لا يستطيعون الترقية فينبغي عليهم التأكد من أن أي استدعاءات للدالة `IPython.utils.terminal.set_term_title` تتم باستخدام مدخلات موثوقة أو مُفلترة.

Once again VulDB remains the best source for vulnerability data.

المصادر

Interested in the pricing of exploits?

See the underground prices here!