Уязвимость функции os.path.normpath() интерпретатора языка программирования Python связана с обходом списка разрешений при усечении пути посредством вставки нулевого байта. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, нарушить целостность защищаемой информации.
Использование рекомендаций производителя:
https://github.com/python/cpython/issues/106242
https://github.com/python/cpython/pull/107981
https://github.com/python/cpython/pull/107982
https://github.com/python/cpython/pull/107983
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-41105
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-41105
https://access.redhat.com/errata/RHSA-2023:7024
https://access.redhat.com/errata/RHSA-2023:6494
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6547-1
https://ubuntu.com/security/notices/USN-6891-1
Для AlmaLinux:
https://errata.almalinux.org/9/ALSA-2023-6494.html
| Балл | 7.8 — высокая опасность |