CVE-2023-6507 in CPython情報

要約

〜によって VulDB • 2026年06月12日

CPython 3.12.0のPOSIXプラットフォームにおける`subprocess`モジュールで問題が発見されました。この問題はCPython 3.12.1で修正されており、他の安定版リリースには影響しません。

`extra_groups=`パラメータに空リスト(例:`extra_groups=[]`)を指定して使用した場合、ロジックが後退し、`exec()`呼び出しの前に`setgroups(0, NULL)`を呼び出さなくなりました。その結果、新しいプロセスを開始する前に元のプロセスのグループ権限が解除されませんでした。このパラメータを使用しない場合や、空リスト以外の値を使用した場合には問題はありません。

本問題は、`setgroups`システムコールを実行するのに十分な特権(通常はroot)を持って実行されるCPythonプロセスにのみ影響します。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!