V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-12003
DEB
Средний

Чтобы позволить сборки Python работать с макета в дереве (а не с помощью макета в дереве (а не установленной компоновки файла), переменная …

CVSS
5.3
Средний
EPSS
0.00
p3
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Чтобы позволить сборки Python работать с макета в дереве (а не с помощью макета в дереве (а не установленной компоновки файла), переменная VPATH определена во время сборки и используется для определения определенных ориентиров - в частности, Модули/setup.local. Когда эта достопримечательность найдена относительно VPATH относительно исполняемого, Python предполагает, что он работает в источнике дерево и генерирует другой по умолчанию sys.path. Этот код остается в высвобождает сборки, так что готовые к выпуску сборки могут быть построены в дереве. На Windows, так как сборки написаны на 'PCbuild/', ценность VPATH настроен на '..\..', что приводит к ориентиру '..\.\.\Modules\setup.local'. Этот путь находится за пределами каталога установки Python, и может иметь различные разрешения, потенциально позволяющие низкопривилегированный пользователь для создания ориентира и альтернативы `Lib` папка, которая будет обнаружена в противном случае ограниченной установкой. Такая настройка происходит с устаревшим местоположением установки по умолчанию для всех пользователям (в теперь вытесненном установщике EXE), из-за того, как Windows позволяет все пользователи создают папки в корневом каталоге своего ОС-привода. Наше рекомендуемое смягчение на Windows - это миграция из унаследованный установщик и использовать новый [Python install менеджер](https://www.python.org/downloads/latest/pymanager/) для установки Для текущего пользователя. Установил, где каталог на два уровня выше Каталог установки Python имеет эквивалентные разрешения не затронуты (в общем, установка на пользователя вообще не может быть изменена другими пользователей, устраняя любую эскалацию риска привилегий, и может быть напрямую модифицированный привилегированным пользователем, что делает потенциальное вмешательство неактуальна). Альтернативные меры по смягчению могут включать в себя превентивное создание и ограничение доступа к каталогу "Модули". Имейте в виду, что только 3.13 и 3.14 получит обновленные устаревшие установщики - более ранние исправления только Предоставляется в качестве источников. Платформы, отличные от Windows, позволяют переопределять VPATH, но так же, как они обычно не используйте отделенный каталог в сборке для двоичных файлов, вряд ли иметь ориентировку за пределами каталога установки. Знаковое обнаружение с участием VPATH является запасным вариантом для того, когда больше конкретный ориентир - .\pybuildir.txt - отсутствует, и был включен для Совместимость. Будущие релизы Python больше не будут включать запасной, и поэтому сборки должны будут генерировать или сохранять файл pybuilddir.txt для работы в дереве. Этот знаковый файл имеет генерироваться на Windows с 3.11 и на других платформах дольше.

Теги · CWE
CWE-427
CAPEC-38
CAPEC-471
Затронутые продукты
Python3.11Python3.13Python3.14Python3.9
Вектор CVSS
CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: L
Локальная (L)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: P
Present
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: A
Active
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: N
Отсутствует (N)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.001 · p3
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
python3.11Отслеживается
python3.13Отслеживается
python3.14Отслеживается
python3.9Отслеживается