Vulnerabilidad en CPython (CVE-2024-8088)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/08/2024
Última modificación:
04/09/2024
Descripción
Existe una vulnerabilidad de gravedad ALTA que afecta al módulo "zipfile" de CPython. Al iterar sobre nombres de entradas en un archivo zip (por ejemplo, métodos de "zipfile.ZipFile" como "namelist()", "iterdir()", "extractall()", etc.), el proceso se puede poner en un infinito bucle con un archivo zip creado con fines malintencionados. Este defecto se aplica al leer solo metadatos o extraer el contenido del archivo zip. Los programas que no manejan archivos zip controlados por el usuario no se ven afectados.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/python/cpython/commit/0aa1ee22ab6e204e9d3d0e9dd63ea648ed691ef1
- https://github.com/python/cpython/commit/2231286d78d328c2f575e0b05b16fe447d1656d6
- https://github.com/python/cpython/commit/795f2597a4be988e2bb19b69ff9958e981cb894e
- https://github.com/python/cpython/commit/7bc367e464ce50b956dd232c1dfa1cad4e7fb814
- https://github.com/python/cpython/commit/7e8883a3f04d308302361aeffc73e0e9837f19d4
- https://github.com/python/cpython/commit/8c7348939d8a3ecd79d630075f6be1b0c5b41f64
- https://github.com/python/cpython/commit/95b073bddefa6243effa08e131e297c0383e7f6a
- https://github.com/python/cpython/commit/962055268ed4f2ca1d717bfc8b6385de50a23ab7
- https://github.com/python/cpython/commit/dcc5182f27c1500006a1ef78e10613bb45788dea
- https://github.com/python/cpython/commit/e0264a61119d551658d9445af38323ba94fc16db
- https://github.com/python/cpython/commit/fc0b8259e693caa8400fa8b6ac1e494e47ea7798
- https://github.com/python/cpython/issues/122905
- https://github.com/python/cpython/issues/123270
- https://github.com/python/cpython/pull/122906
- https://mail.python.org/archives/list/security-announce@python.org/thread/GNFCKVI4TCATKQLALJ5SN4L4CSPSMILU/