Python DLLローディングのローカル権限昇格
high Nessus プラグイン ID 139240
Language:
概要
リモートホストにインストールされているアプリケーションは、権限の昇格の脆弱性の影響を受けます。説明
リモートWindowsホストにインストールされたPythonのバージョンは、 3.6.12より前の3.6.x、3.7.9より前の3.7.x、3.8.4より前の3.8.x、3.9.0b5より前の3.9.xです。このため、権限昇格の脆弱性による影響を受けます。CPythonがネイティブアプリケーションに埋め込まれている場合、トロイの木馬であるpython3.dllが使用される可能性があります。これは、python3X.dllが(Py_SetPath使用後の)python3.dllの読み込みに無効な検索パスを使用する可能性があるためです。ソリューション
Python 3.6.12、3.7.9、3.8.4、3.9.0b5以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 139240
ファイル名: python_3_9_0b5.nasl
バージョン: 1.4
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2020/7/31
更新日: 2024/2/27
設定: パラノイドモードの有効化
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.9
現状値: 5.1
ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2020-15523
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:python:python
必要な KB アイテム: Settings/ParanoidReport, SMB/Registry/Enumerated, installed_sw/Python Software Foundation Python
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/7/14
脆弱性公開日: 2020/7/14
参照情報
CVE: CVE-2020-15523
IAVA: 2020-A-0340-S