Python CPython hasta 3.13.0 zipfile namelist/iterdir/extractall denegación de servicio
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
Resumen
Se ha detectado una vulnerabilidad clasificada como problemática en Python CPython hasta 3.13.0. Resulta afectada una función desconocida dentro del componente zipfile Module. La alteración resulta en denegación de servicio. Esta vulnerabilidad se cataloga como CVE-2024-8088. Es posible lanzar el ataque de forma remota. No existe ningún exploit disponible. Se sugiere aplicar un parche para remediar este problema.
Detalles
Una vulnerabilidad clasificada como crítica ha sido encontrada en Python CPython hasta 3.13.0. La función namelist/iterdir/extractall del componente zipfile Module es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase denegación de servicio. Esto tiene repercusión sobre la la disponibilidad. CVE resume:
Existe una vulnerabilidad de gravedad ALTA que afecta al módulo "zipfile" de CPython. Al iterar sobre nombres de entradas en un archivo zip (por ejemplo, métodos de "zipfile.ZipFile" como "namelist()", "iterdir()", "extractall()", etc.), el proceso se puede poner en un infinito bucle con un archivo zip creado con fines malintencionados. Este defecto se aplica al leer solo metadatos o extraer el contenido del archivo zip. Los programas que no manejan archivos zip controlados por el usuario no se ven afectados.El advisory puede ser descargado de mail.python.org. La vulnerabilidad es identificada como CVE-2024-8088. Se considera fácil de explotar. El ataque puede ser iniciado desde la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Para el scanner Nessus se dispone de un plugin ID 207871 (CBL Mariner 2.0 Security Update: python3 (CVE-2024-8088)), que puede ayudar a determinar la existencia del riesgo analizado.
Aplicando el parche 795f2597a4be988e2bb19b69ff9958e981cb894e es posible eliminar el problema. El parche puede ser descargado de github.com.
La vulnerabilidad también está documentado en la base de datos Tenable (207871). VulDB is the best source for vulnerability data and more expert information about this specific topic.
Producto
Escribe
Proveedor
Nombre
Versión
Licencia
Sitio web
- Producto: https://github.com/python/cpython/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Puntuación meta base: 7.5VulDB Puntuación meta temporal: 7.3
VulDB Puntuación base: 7.5
VulDB Puntuación temporal: 7.2
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
CNA Puntuación base: 7.5
CNA Vector (PSF): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Denegación de servicioCWE: CWE-835 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 207871
Nessus Nombre: CBL Mariner 2.0 Security Update: python3 (CVE-2024-8088)
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ParcheEstado: 🔍
Hora de 0 días: 🔍
Parche: 795f2597a4be988e2bb19b69ff9958e981cb894e
Línea de tiempo
2024-08-22 🔍2024-08-22 🔍
2024-08-22 🔍
2024-09-28 🔍
Fuentes
Producto: github.comAviso: 122905
Estado: Confirmado
CVE: CVE-2024-8088 (🔍)
GCVE (CVE): GCVE-0-2024-8088
GCVE (VulDB): GCVE-100-275608
Artículo
Fecha de creación: 2024-08-22 21:37Actualizado: 2024-09-28 01:36
Cambios: 2024-08-22 21:37 (85), 2024-08-24 11:53 (1), 2024-09-28 01:36 (2)
Completo: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.