PT-2024-9155 · Unknown+10 · Virtualenv+10

Musicinmybrain

·

Publicado

2024-09-23

·

Atualizado

2026-06-03

·

CVE-2024-53899

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
versões do virtualenv anteriores à 20.26.6
Descrição:
O problema está relacionado à injeção de comandos por meio dos scripts de ativação de um ambiente virtual no virtualenv. É causado pela citação incorreta de strings de modelo mágicas durante a substituição, permitindo que um invasor execute comandos arbitrários. Isso pode permitir que um invasor remoto realize ações não autorizadas.
Recomendações:
Para versões anteriores à 20.26.6, atualize para a versão 20.26.6 ou posterior para resolver o problema. Como solução temporária, considere desativar os scripts de ativação para ambientes virtuais até que um patch esteja disponível. Restrinja o acesso aos scripts de ativação vulneráveis para minimizar o risco de exploração.

Exploit

Correção

DoS

Command Injection

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-78

Identificadores relacionados

ALSA-2024:10953
ALT-PU-2025-6288
AZL-53417
AZL-53645
BDU:2024-10842
BIT-VIRTUALENV-2024-53899
CESA-2024_10953
CVE-2024-53899
GHSA-RQC4-2HC7-8C8V
INFSA-2024_10953
OESA-2025-1241
OPENSUSE-SU-2024_4093-1
OPENSUSE-SU-2024_4143-1
OPENSUSE-SU-2025:15252-1
PYSEC-2024-187
RHSA-2024:10953
RHSA-2024:11048
RHSA-2024:11091
RHSA-2024:11093
RHSA-2024:11094
RHSA-2024_10953
RHSA-2025:0002
RLSA-2024:10953
SUSE-SU-2024:4093-1
SUSE-SU-2024:4143-1
SUSE-SU-2024_4093-1
SUSE-SU-2024_4143-1
USN-7271-1
USN-7271-2

Produtos afetados

Alt Linux
Almalinux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Virtualenv