Informazioni sul CVE-2025-22153

try/except* clauses could allow bypass RestrictedPython via type confusion bug in the CPython interpreter

CWE ID: CWE-843

Base Score (CVSS): N/A

CVE: CVE-2025-22153

Descrizione: RestrictedPython è uno strumento che aiuta a definire un sottoinsieme della lingua Python che permette di fornire un programma come input in un ambiente fidato. Un bug di confuso tipo in versioni dell’interprete CPython che inizia in 3.11 e prima di 3.13.2 quando si utilizzava `try/except*`, RestrictedPython poteva essere aggirato. Il problema è stato corretto nella versione 8.0 di RestrictedPython rimuovendo il supporto per le clausole `try/except*`. Non sono disponibili soluzioni note.

Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:L

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 7.9 (High)

Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: Low.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) N Network L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC) H High L’attacco richiede condizioni particolari o avanzate.
Privileges Required (PR) H High Richiede privilegi elevati.
User Interaction (UI) N None Non è richiesta interazione dell’utente.
Scope (S) C Changed La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C) H High Grave impatto sulla riservatezza.
Integrity Impact (I) H High Grave impatto sull’integrità.
Availability Impact (A) L Low Interferenza limitata.

Riferimenti esterni

Prodotti interessati

  • zopefoundation – RestrictedPython

Relazioni con altri prodotti

Produttore:zopefoundation
Prodotto: RestrictedPython
Anno: 2025
CWE: CWE-843
CVSS: 0.0