CVE-2024-53899

Опубликовано: 24 нояб. 2024

Источник: nvd

CVSS3: 7.8

CVSS3: 8.4

EPSS Низкий

Описание

virtualenv before 20.26.6 allows command injection through the activation scripts for a virtual environment. Magic template strings are not quoted correctly when replacing. NOTE: this is not the same as CVE-2024-9287.

Ссылки

https://github.com/pypa/virtualenv/issues/2768
Exploit
https://github.com/pypa/virtualenv/pull/2771
Patch
https://github.com/pypa/virtualenv/releases/tag/20.26.6
Release Notes

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:virtualenv:virtualenv:*:*:*:*:*:*:*:*

Версия до 20.26.6 (исключая)

EPSS

Процентиль: 70%

0.00643

Низкий

7.8 High

CVSS3

8.4 High

CVSS3

Дефекты

CWE-77

CWE-78

Связанные уязвимости

CVE-2024-53899

CVSS3: 7.8

ubuntu

7 месяцев назад

CVE-2024-53899

CVSS3: 7.8

redhat

7 месяцев назад

CVE-2024-53899

CVSS3: 7.8

msrc

6 месяцев назад

Описание отсутствует

CVE-2024-53899

CVSS3: 7.8

debian

7 месяцев назад

virtualenv before 20.26.6 allows command injection through the activat ...

SUSE-SU-2024:4143-1

suse-cvrf

7 месяцев назад

Security update for python3-virtualenv

EPSS

Процентиль: 70%

0.00643

Низкий

7.8 High

CVSS3

8.4 High

CVSS3

Дефекты

CWE-77

CWE-78