Уязвимость BDU:2023-07707

Идентификатор: BDU:2023-07707.

Наименование уязвимости: Уязвимость функции set_term_title() (ipython/IPython/utils/terminal.py) командной оболочки для интерактивных вычислений IPython, позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость функции set_term_title() (ipython/IPython/utils/terminal.py) командной оболочки для интерактивных вычислений IPython существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды в результате передачи приложению специально сформированных данных
Уязвимое ПО: Прикладное ПО информационных систем IPython до 8.10.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.02.2023.
CVSS 2.0: AV:L/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/ipython/ipython/commit/385d69325319a5972ee9b5983638e3617f21cb1f
https://github.com/ipython/ipython/security/advisories/GHSA-29gw-9793-fvw7.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-24816.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/ipython/ipython/blob/3f0bf05f072a91b2a3042d23ce250e5e906183fd/IPython/utils/terminal.py#L103-L117
https://github.com/ipython/ipython/blob/56e6925dfa50e2c7f4a6471547b8176275db7c25/IPython/utils/_process_win32.py#L20
https://github.com/ipython/ipython/commit/385d69325319a5972ee9b5983638e3617f21cb1f
https://github.com/ipython/ipython/security/advisories/GHSA-29gw-9793-fvw7
https://www.cybersecurity-help.cz/vdb/SB2023021016