一、 漏洞 CVE-2024-3220 基础信息
漏洞标题
Windows系统中默认的mimetype已知文件可写
来源:AIGC 神龙大模型
漏洞描述信息
在CPython标准库模块“mimetypes”中存在一个缺陷,即在Windows系统上,默认的已知文件位置列表是可写的,这意味着其他用户可以创建无效文件,导致Python运行时启动时引发MemoryError,或者将文件扩展名解释为不正确的文件类型。
该缺陷的原因是在Windows系统上使用了Linux和macOS平台的默认位置(例如“/etc/mime.types”),这些位置在Windows上是用户可写的(“C:\etc\mime.types”)。
为解决该问题,用户可以在Windows平台上调用mimetypes.init()并传入一个空列表(“[]”),以避免使用默认的已知文件位置列表。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
输入验证不恰当
来源:AIGC 神龙大模型
漏洞标题
Default mimetype known files writeable on Windows
来源:美国国家漏洞数据库 NVD
漏洞描述信息
There is a defect in the CPython standard library module “mimetypes” where on Windows the default list of known file locations are writable meaning other users can create invalid files to cause MemoryError to be raised on Python runtime startup or have file extensions be interpreted as the incorrect file type.
This defect is caused by the default locations of Linux and macOS platforms (such as “/etc/mime.types”) also being used on Windows, where they are user-writable locations (“C:\etc\mime.types”).
To work-around this issue a user can call mimetypes.init() with an empty list (“[]”) on Windows platforms to avoid using the default list of known file locations.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不可信的搜索路径
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-3220 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-3220 的情报信息
-
标题: Mailman 3 [CVE-2024-3220] Default mimetype known files writeable on Windows - Security-announce - python.org -- 🔗来源链接
标签: vendor-advisory
![Mailman 3 [CVE-2024-3220] Default mimetype known files writeable on Windows - Security-announce - python.org](https://h.imfht.com:8082/2025-02-15/screenshot-viewport-2025-02-15T16-30-33.763Z-774109170b9e968abb83.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2024-3220