PT-2026-60967 · Pypi · Urwid

·

CVE-2026-9323

·

Publicado

2026-07-18

·

Atualizado

2026-07-18

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas urwid (versões afetadas não especificadas)
Description O backend de exibição web em urwid/display/web.py utiliza o PRNG Mersenne Twister do Python para gerar identificadores de sessão web urwid id dentro da função Screen.start(). Como este PRNG não é criptograficamente seguro, um invasor que observe aproximadamente 334 IDs de sessão, como aqueles encontrados no cabeçalho de resposta HTTP X-Urwid-ID, pode reconstruir o estado interno e prever todos os IDs de sessão passados e futuros. Além disso, esses identificadores são usados como nomes de arquivos para FIFOs criados no diretório /tmp, que é listável por qualquer usuário, permitindo que qualquer usuário local enumere tokens de sessão ativos. Um ID de sessão válido permite que um invasor leia a tela do terminal da vítima através do endpoint de polling, injete teclas — potencialmente levando à execução de código no nível do SO se um shell estiver em execução — ou cause a queda da sessão ao inundar o FIFO.
Recommendations Atualize o urwid para a versão que contenha o commit de correção 24acd12. Como medida de mitigação temporária, restrinja o acesso ao backend de exibição web ou evite utilizá-lo se não for estritamente necessário.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-9323

Produtos afetados

Urwid