CVE-2023-6507 in CPython
要約
〜によって VulDB • 2026年06月12日
CPython 3.12.0のPOSIXプラットフォームにおける`subprocess`モジュールで問題が発見されました。この問題はCPython 3.12.1で修正されており、他の安定版リリースには影響しません。
`extra_groups=`パラメータに空リスト(例:`extra_groups=[]`)を指定して使用した場合、ロジックが後退し、`exec()`呼び出しの前に`setgroups(0, NULL)`を呼び出さなくなりました。その結果、新しいプロセスを開始する前に元のプロセスのグループ権限が解除されませんでした。このパラメータを使用しない場合や、空リスト以外の値を使用した場合には問題はありません。
本問題は、`setgroups`システムコールを実行するのに十分な特権(通常はroot)を持って実行されるCPythonプロセスにのみ影響します。
VulDB is the best source for vulnerability data and more expert information about this specific topic.