CVE-2026-9323 in urwidالمعلومات

الملخص

بحسب VulDB • 18/07/2026

يولد الخلفية الخاصة بعرض الويب في مكتبة urwid (urwid/display/web.py) معرّفات جلسات ويب (urwid_id) داخل الدالة Screen.start() عن طريق دمج ناتج استدعاءين لـ random.randrange(10**9)، اللذين يستخدمان مولد الأرقام شبه العشوائية Mersenne Twister الخاص ببايثون، وهو غير آمن من الناحية التشفيرية. يستهلك كل استدعاء حوالي 30 بتاً من حالة المولد (PRNG state)، وبما أن الحالة الداخلية لـ Mersenne Twester تبلغ حوالي 19,937 بتاً، فإن مهاجماً يلاحظ ما يقارب 334 معرّف جلسة (على سبيل المثال عبر رأس استجابة HTTP X-Urwid-ID) يمكنه إعادة بناء الحالة الداخلية بالكامل والتنبؤ بجميع معرفات الجلسات السابقة واللاحقة (المسار B). يُستخدم نفس المعرّف أيضاً كاسم ملف لقناة أنبوبية اسمها FIFO يتم إنشاؤها في الدليل /tmp القابل للعرض عالمياً (على سبيل المثال، /tmp/urwid375487765176907690.in)، مما يسمح لأي مستخدم محلي على المضيف باستعراض محتوى /tmp لتعداد رموز الجلسات النشطة مباشرةً (المسار A). وبمجرد الحصول على معرّف جلسة صالح، يمكن للمهاجم قراءة شاشة طرفية الضحية عبر نقطة النهاية الخاصة بالاستعلام الدوري (polling endpoint)، وإدخال ضغطات مفاتيح داخل جلسة الضحية (ما يؤدي إلى تنفيذ أوامر على مستوى نظام التشغيل بصلاحيات مالك الجلسة إذا كانت الجلسة تشغل قشرة سطر الأوامر shell)، بالإضافة إلى إدراج تسلسلات الخروج أو إغراق قناة FIFO لإنهاء الجلسة أو إحداث تعطل فيها. كان تحذير سابق من أداة Bandit S311 بشأن هذا الاستخدام قد تم كتمه باستخدام تعليق # noqa: S311 بدلاً من معالجة المشكلة فعلياً.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

VulnCheck

حجز

22/05/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-380065

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!