检测

Linux Distros 未修补的漏洞:CVE-2023-37271

critical Nessus 插件 ID 227186

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - RestrictedPython 是一个有助于定义 Python 语言子集的工具该子集允许用户向受信任的环境提供程序输入。RestrictedPython 不检查对堆栈帧及其属性的访问权限。至少在 发生器和发生器表达式中可访问堆栈框架这在 RestrictedPython 中是允许的。在低于 的版本 6.1 和 5.3中具有 RestrictedPython 环境访问权限的攻击者可编写代码获取发生器中的当前堆栈帧然后使堆栈一直遍历到超出 RestrictedPython 调用边界从而突破受限制的沙盒并可能允许在 Python 解释器中执行任意代码。所有允许不受信任的用户在 RestrictedPython 环境中写入 Python 代码的 RestrictedPython 部署都存在风险。就 Zope 和 Plone 而言,这意味着在部署中管理员允许不受信任的用户创建和/或编辑“脚本 (Python)”、“DTML 方法”、“DTML 文档”或“Zope 页面模板”类型的对象。这是非默认配置而且极为罕见。此问题已在版本 6.1 和 5.3中修复。 (CVE-2023-37271)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2023-37271

https://ubuntu.com/security/CVE-2023-37271

插件详情

严重性: Critical

ID: 227186

文件名: unpatched_CVE_2023_37271.nasl

版本: 1.3

类型: local

代理: unix

系列: Misc.

发布时间: 2025/3/5

最近更新时间: 2025/9/3

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 4.8

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2023-37271

CVSS v3

风险因素: Critical

基本分数: 9.9

时间分数: 8.6

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:restrictedpython, p-cpe:/a:canonical:ubuntu_linux:restrictedpython, cpe:/o:debian:debian_linux:12.0

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2023/7/10

参考资料信息

CVE: CVE-2023-37271