CVE-2023-49797 in pyinstallerinformation

Résumé

par VulDB • 01/06/2026

PyInstaller regroupe une application Python et toutes ses dépendances en un seul package. Une application compilée avec PyInstaller, exécutée en tant que processus privilégié, peut être trompée par un attaquant non privilégié pour supprimer des fichiers auxquels l'utilisateur non privilégié n'a pas autrement accès. Un utilisateur est affecté si **toutes** les conditions suivantes sont remplies : 1. L'utilisateur exécute une application contenant soit `matplotlib` soit `win32com`. 2. L'application est exécutée en tant qu'administrateur (ou au moins un utilisateur ayant des privilèges supérieurs à ceux de l'attaquant). 3. Le répertoire temporaire de l'utilisateur n'est pas verrouillé pour cet utilisateur spécifique (le plus souvent en raison des variables d'environnement `TMP`/`TEMP` pointant vers un emplacement arbitraire non protégé et non par défaut). Soit : A. L'attaquant est capable de remplacer très soigneusement un fichier temporaire par un lien symbolique. Ce changement doit se produire exactement entre la vérification intégrée des liens symboliques de `shutil.rmtree()` et la suppression elle-même. B. L'application a été compilée avec Python 3.7.x ou une version antérieure, qui ne dispose d'aucune protection contre les liens Directory Junctions. La vulnérabilité a été corrigée dans la PR #7827, correspondant à `pyinstaller >= 5.13.1`. Il est conseillé aux utilisateurs de mettre à niveau. Il n'existe aucune solution de contournement connue pour cette vulnérabilité.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub, Inc.

Réserver

30/11/2023

Divulgation

09/12/2023

Modérer

accepté

Entrée

VDB-247324

CPE

prêt

EPSS

0.00324

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!