关键信息 漏洞编号 CVE-2024-48990 发布和更新日期 Published: 2024-11-19 Updated: 2024-11-19 描述 Qualys 发现了 needrestart(版本 3.8 之前)允许本地攻击者通过诱骗 needrestart 运行 Python 解释器,使用攻击者控制的 PYTHONPATH 环境变量执行任意代码。 CVSS 分数 Score: 7.8 Severity: HIGH Version: 3.1 Vector String: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 产品状态 Vendor: needrestart Product: needrestart Platforms: Linux 影响版本 Default Status: unknown 受影响版本: 从 0 之前到 3.8 信用 Qualys: finder Thomas Liske: remediation developer Mark Esler: coordinator 参考 https://www.cve.org/CVERecord?id=CVE-2024-48990 https://github.com/liske/needrestart/commit/fcc9a4401392231bef4ef5ed026a0d7a275149ab https://www.qualys.com/2024/11/19/needrestart/needrestart.txt 授权数据发布者 CISA-ADP