Vulnerabilidad en nonebot2 (CVE-2024-21624)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/02/2024
Última modificación:
16/02/2024
Descripción
nonebot2 es un framework de chatbot asincrónico de Python multiplataforma escrito en Python. Este aviso de seguridad se refiere a una posible fuga de información (por ejemplo, variables de entorno) en casos en los que los desarrolladores utilizan "MessageTemplate" e incorporan datos proporcionados por el usuario en plantillas. La vulnerabilidad identificada se solucionó en la solicitud de extracción n.° 2509 y se incluirá en las versiones lanzadas a partir de la 2.2.0. Se recomienda encarecidamente a los usuarios que actualicen a estas versiones parcheadas para protegerse contra la vulnerabilidad. Una solución temporal implica filtrar los guiones bajos antes de incorporar la entrada del usuario en la plantilla del mensaje.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nonebot:nonebot:*:*:*:*:*:*:*:* | 2.0.1 (incluyendo) | 2.2.0 (excluyendo) |
| cpe:2.3:a:nonebot:nonebot:2.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:alpha16:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:beta3:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:beta4:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:beta5:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:nonebot:nonebot:2.0.0:rc4:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página