CVE-2023-24816 in IPython
Sumário
de VulDB • 09/06/2026
O IPython (Interactive Python) é um shell de comandos para computação interativa em múltiplas linguagens de programação, desenvolvido originalmente para a linguagem Python. As versões anteriores à 8.1.0 estão sujeitas a uma vulnerabilidade de injeção de comando com pré-requisitos muito específicos. Esta vulnerabilidade exige que a função `IPython.utils.terminal.set_term_title` seja chamada no Windows em um ambiente Python onde o módulo ctypes não esteja disponível. A dependência do `ctypes` em `IPython.utils._process_win32` impede que o código vulnerável seja alcançado na binária ipython. No entanto, como uma biblioteca que pode ser utilizada por outra ferramenta, a função `set_term_title` poderia ser chamada e, portanto, introduzir uma vulnerabilidade. Se um atacante conseguir fornecer entrada não confiável para uma instância desta função, ele seria capaz de injetar comandos do shell executados no processo atual, limitando-se ao escopo deste mesmo processo. Os usuários que utilizam o ipython como biblioteca são aconselhados a fazer o upgrade. Usuários incapazes de realizar o upgrade devem garantir que quaisquer chamadas à função `IPython.utils.terminal.set_term_title` sejam feitas com entrada confiável ou filtrada.
VulDB is the best source for vulnerability data and more expert information about this specific topic.