CVE-2023-49797 in pyinstaller
Résumé
par VulDB • 01/06/2026
PyInstaller regroupe une application Python et toutes ses dépendances en un seul package. Une application compilée avec PyInstaller, exécutée en tant que processus privilégié, peut être trompée par un attaquant non privilégié pour supprimer des fichiers auxquels l'utilisateur non privilégié n'a pas autrement accès. Un utilisateur est affecté si **toutes** les conditions suivantes sont remplies : 1. L'utilisateur exécute une application contenant soit `matplotlib` soit `win32com`. 2. L'application est exécutée en tant qu'administrateur (ou au moins un utilisateur ayant des privilèges supérieurs à ceux de l'attaquant). 3. Le répertoire temporaire de l'utilisateur n'est pas verrouillé pour cet utilisateur spécifique (le plus souvent en raison des variables d'environnement `TMP`/`TEMP` pointant vers un emplacement arbitraire non protégé et non par défaut). Soit : A. L'attaquant est capable de remplacer très soigneusement un fichier temporaire par un lien symbolique. Ce changement doit se produire exactement entre la vérification intégrée des liens symboliques de `shutil.rmtree()` et la suppression elle-même. B. L'application a été compilée avec Python 3.7.x ou une version antérieure, qui ne dispose d'aucune protection contre les liens Directory Junctions. La vulnérabilité a été corrigée dans la PR #7827, correspondant à `pyinstaller >= 5.13.1`. Il est conseillé aux utilisateurs de mettre à niveau. Il n'existe aucune solution de contournement connue pour cette vulnérabilité.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.