yanomiko dcnnt-py 通知 notification.py 主命令注入 (CVE-2023-1000)

CVE编号

CVE-2023-1000

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-27
漏洞描述
cyanomiko dcnnt-py的版本0.9.0及之前存在漏洞,被归类为严重级别。影响到Notification Handler组件的dcnnt/plugins/notifications.py文件中的main函数。攻击者可以利用该漏洞进行命令注入攻击,并可以远程发起攻击。升级至版本0.9.1可以解决此问题。补丁标识为b4021d784a97e25151a5353aa763a741e9a148f5。建议尽快升级受影响的组件。该漏洞的标识符为VDB-262230。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/cyanomiko/dcnnt-py/commit/b4021d784a97e25151a5353aa763a741e9a148f5
https://github.com/cyanomiko/dcnnt-py/pull/23
https://github.com/cyanomiko/dcnnt-py/releases/tag/0.9.1
https://vuldb.com/?ctiid.262230
https://vuldb.com/?id.262230
CVSS3评分
6.3
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
CWE-ID 漏洞类型
CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)
阿里云安全产品覆盖情况