PT-2024-8544 · Unknown+3 · Needrestart+3
Mark Esler
+2
·
Publicado
2024-11-17
·
Atualizado
2026-03-21
·
CVE-2024-48990
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do needrestart anteriores à 3.8
Versões do Module::ScanDeps anteriores à 3.8
Descrição
O utilitário needrestart, versões anteriores à 3.8, contém uma falha devido ao tratamento inadequado da variável de ambiente
PYTHONPATH. Isso permite que invasores locais executem código arbitrário com privilégios de root manipulando a variável PYTHONPATH durante a inicialização do interpretador Python. A vulnerabilidade decorre de um elemento de caminho de pesquisa não controlado. Existe um exploit publicamente disponível para este problema. A vulnerabilidade afeta sistemas que executam Ubuntu e Debian.Recomendações
Atualize o needrestart para a versão 3.8 ou posterior.
Atualize o Module::ScanDeps para a versão 3.8 ou posterior.
Exploit
Correção
LPE
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Linuxmint
Ubuntu
Needrestart