Ellie

**Nome do software vulnerável e versões afetadas** Versões do CPython da 3.5 até a mais recente **Descrição** O problema decorre do recurso de fallback em Python puro do módulo “socket” para a função socket.socketpair() em plataformas que não suportam AF UNIX, como o Windows. Essa implementação utiliza AF INET ou AF INET6 para criar um par de sockets conectados localmente. No entanto, a conexão entre os dois sockets não é verificada antes de ser devolvida ao usuário, deixando o socket do servidor vulnerável a uma corrida de conexão por parte de um par local mal-intencionado. Plataformas que suportam AF UNIX, como Linux e macOS, não são afetadas. **Recomendações** Para as versões 3.5 e posteriores do CPython, considere desativar a função socket.socketpair() até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao módulo “socket” para minimizar o risco de uma corrida de conexão por parte de um par local mal-intencionado. Evite usar os protocolos AF INET ou AF INET6 na função socket.socketpair() em plataformas Windows até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.