PT-2022-7666 · Python · Python
Publicado
2022-03-07
·
Atualizado
2025-08-11
·
CVE-2022-26488
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Python anteriores à 3.10.3
Versões do Python 3.7.x a 3.7.12
Versões do Python 3.8.x a 3.8.12
Versões do Python 3.9.x a 3.9.10
Versões do Python 3.10.x a 3.10.2
Descrição
O problema está relacionado à segurança inadequada do caminho de pesquisa no Python, permitindo que usuários locais obtenham privilégios. O instalador pode permitir que um invasor local adicione diretórios graváveis pelo usuário ao caminho de pesquisa do sistema. Para explorar essa vulnerabilidade, um administrador deve ter instalado o Python para todos os usuários e habilitado as entradas PATH. Um usuário sem privilégios de administrador pode acionar um reparo que adiciona incorretamente caminhos graváveis pelo usuário ao PATH, possibilitando o sequestro do caminho de pesquisa de outros usuários e serviços do sistema.
Recomendações
Para versões do Python anteriores à 3.10.3, atualize para a versão 3.10.3 ou posterior para resolver o problema.
Para as versões do Python 3.7.x a 3.7.12, atualize para a versão 3.7.13 ou posterior para resolver o problema.
Para as versões do Python 3.8.x a 3.8.12, atualize para a versão 3.8.13 ou posterior para resolver o problema.
Para as versões do Python 3.9.x a 3.9.10, atualize para a versão 3.9.11 ou posterior para resolver o problema.
Para as versões do Python 3.10.x a 3.10.2, atualize para a versão 3.10.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao caminho de pesquisa do sistema para minimizar o risco de exploração.
Correção
Untrusted Search Path
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Python