CVE-2026-33430 in briefcase
Tóm tắt
Bởi VulDB • 31/05/2026
Briefcase là một công cụ để chuyển đổi một dự án Python thành một ứng dụng gốc độc lập. Bắt đầu từ phiên bản 0.3.0 và trước phiên bản 0.3.26, nếu một nhà phát triển sử dụng Briefcase để tạo bộ cài đặt MSI cho Windows cho một dự án, và dự án đó được cài đặt cho tất cả người dùng (tức là phạm vi toàn máy), quá trình cài đặt sẽ tạo ra một thư mục thừa hưởng tất cả các quyền của thư mục cha. Tùy thuộc vào vị trí do người cài đặt chọn, điều này có thể cho phép một người dùng đã xác thực nhưng có đặc quyền thấp thay thế hoặc sửa đổi các tệp nhị phân do ứng dụng cài đặt. Nếu một quản trị viên sau đó chạy tệp nhị phân đã bị sửa đổi, tệp nhị phân đó sẽ chạy với đặc quyền nâng cao. Vấn đề này là do mẫu được sử dụng để tạo tệp WXS cho các dự án Windows. Nó đã được sửa trong các mẫu được sử dụng trong Briefcase 0.3.26, 0.4.0 và 0.4.1. Chạy lại `briefcase create` trên dự án Briefcase của bạn sẽ dẫn đến việc sử dụng các mẫu đã cập nhật. Làm cách khắc phục, bản vá có thể được thêm vào bất kỳ tệp .wxs hiện có nào do Briefcase 0.3.24 hoặc sau này tạo ra.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.