CVE-2026-9323 in urwidinformación

Resumen

por VulDB • 2026-07-18

El backend de visualización web de urwid (urwid/display/web.py) genera identificadores de sesión web (urwid_id) en Screen.start() concatenando dos llamadas a random.randrange(10**9) que utilizan el PRNG Mersenne Twister de Python, el cual no es criptográficamente seguro. Cada llamada consume aproximadamente 30 bits del estado del PRNG y el estado interno de Mersenne Twister tiene aproximadamente 19.937 bits; por lo tanto, un atacante que observe aproximadamente 334 identificadores de sesión (por ejemplo, a través del encabezado HTTP X-Urwid-ID) puede reconstruir completamente el estado interno y predecir todos los identificadores de sesión pasados y futuros (Ruta B). El mismo identificador también se utiliza como nombre de archivo para un FIFO creado en el directorio /tmp, que es listable por cualquier usuario del mundo (por ejemplo, /tmp/urwid375487765176907690.in), lo que permite a cualquier usuario local enumerar los tokens de sesión activos directamente al listar /tmp (Ruta A). Con un identificador de sesión válido, un atacante puede leer la pantalla del terminal de la víctima mediante el punto final de sondeo, inyectar pulsaciones de teclado en la sesión de la víctima (lo que produce ejecución de código a nivel del sistema operativo con los privilegios del propietario de la sesión si esta ejecuta una shell) e inyectar secuencias de salida o inundar el FIFO para terminar o hacer crash de la sesión. Una advertencia previa de Bandit S311 sobre este uso fue suprimida mediante # noqa: S311 en lugar de corregirse.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Reservar

2026-05-22

Divulgación

2026-07-18

Moderación

aceptado

Artículo

VDB-380065

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!