CVE-2023-24816 in IPythoninformação

Sumário

de VulDB • 09/06/2026

O IPython (Interactive Python) é um shell de comandos para computação interativa em múltiplas linguagens de programação, desenvolvido originalmente para a linguagem Python. As versões anteriores à 8.1.0 estão sujeitas a uma vulnerabilidade de injeção de comando com pré-requisitos muito específicos. Esta vulnerabilidade exige que a função `IPython.utils.terminal.set_term_title` seja chamada no Windows em um ambiente Python onde o módulo ctypes não esteja disponível. A dependência do `ctypes` em `IPython.utils._process_win32` impede que o código vulnerável seja alcançado na binária ipython. No entanto, como uma biblioteca que pode ser utilizada por outra ferramenta, a função `set_term_title` poderia ser chamada e, portanto, introduzir uma vulnerabilidade. Se um atacante conseguir fornecer entrada não confiável para uma instância desta função, ele seria capaz de injetar comandos do shell executados no processo atual, limitando-se ao escopo deste mesmo processo. Os usuários que utilizam o ipython como biblioteca são aconselhados a fazer o upgrade. Usuários incapazes de realizar o upgrade devem garantir que quaisquer chamadas à função `IPython.utils.terminal.set_term_title` sejam feitas com entrada confiável ou filtrada.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Reservar

30/01/2023

Divulgação

10/02/2023

Moderação

aceite

Entrada

VDB-220580

CPE

pronto

EPSS

0.01295

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!