Python CPython até 3.11.3/3.12.0b0 URL Parser urllib.parse.urlsplit urllib.parse.urlsplit/urlparse Elevação de Privilégios

HistóriaDiferençarelacionarjsonxmlCTI

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
3.6	$0-$5k	0.00

Sumárioinformação

Foi detectada uma vulnerabilidade classificada como crítico em Python CPython até 3.11.3/3.12.0b0. O elemento afetado é a função urllib.parse.urlsplit/urlparse na biblioteca urllib.parse.urlsplit no componente URL Parser. A manipulação resulta em Elevação de Privilégios. Esta vulnerabilidade é identificada como CVE-2024-11168. O ataque pode ser realizado remotamente. Não existe nenhum exploit disponível. É recomendado que o componente afetado seja atualizado.

Detalhesinformação

Foi detectada uma vulnerabilidade classificada como crítico em Python CPython até 3.11.3/3.12.0b0. O elemento afetado é a função urllib.parse.urlsplit/urlparse na biblioteca urllib.parse.urlsplit no componente URL Parser. A manipulação resulta em Elevação de Privilégios. A definição de CWE para a vulnerabilidade é CWE-918. Esta vulnerabilidade foi publicada como 103848. O comunicado foi disponibilizado para download em github.com.

Esta vulnerabilidade é identificada como CVE-2024-11168. A atribuição do identificador CVE aconteceu em 12/11/2024. O ataque pode ser realizado remotamente. Há detalhes técnicos disponíveis. O grau de complexidade do ataque é alto. Diz-se que a explorabilidade é difícil. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora.

Encontra-se declarado como não definido. O scanner de vulnerabilidades Nessus fornece um plugin com o ID 211470.

Fazer upgrade para a versão 3.11.4 e 3.12.0b1 pode mitigar este problema. O patch chama-se 29f348e232e82938ba2165843c448c2b291504c5. O patch pode ser baixado em github.com. É recomendado que o componente afetado seja atualizado.

Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: Tenable (211470).

Afetado

Debian Linux
Amazon Linux 2
Red Hat Enterprise Linux
Fedora Linux
Ubuntu Linux
SUSE Linux
Oracle Linux
NetApp ActiveIQ Unified Manager
SUSE openSUSE
RESF Rocky Linux
IBM App Connect Enterprise
Open Source Python
Dell Avamar
IBM QRadar SIEM
Dell NetWorker

Produtoinformação

Tipo

Programming Language Software

Fabricante

Python

Nome

CPython

Versão

Licença

código aberto

Site

Produto: https://github.com/python/cpython/

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vetor: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 3.7
VulDB Meta Pontuação Temporária: 3.6

VulDB Pontuação Base: 3.7
VulDB Pontuação Temporária: 3.6
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-918
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍