Katalog CVE

CVE-2026-0864

ŚrednieCVSS 4.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność w module configparser umożliwia wstrzyknięcie nieoczekiwanych kluczy i wartości do plików konfiguracyjnych podczas zapisywania wartości wieloliniowych zawierających znaki powrotu karetki ( ). Atakujący może kontrolować zapisywaną wartość, co prowadzi do manipulacji treścią pliku.

Ocena ryzyka

Ryzyko polega na możliwości modyfikacji plików konfiguracyjnych przez atakującego, co może skutkować nieautoryzowanymi zmianami w konfiguracji systemu lub aplikacji.

Rekomendacja

Zaleca się unikanie zapisywania wartości wieloliniowych z znakami przy użyciu configparser lub stosowanie odpowiedniego oczyszczania danych wejściowych przed zapisem.

Oryginalny opis (angielski, źródło NVD)

When using the "configparser" module to write configuration files containing multi-line text values with carriage return characters (\r) the resulting file could be injected with unexpected keys and values if the attacker controls the written value.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS