Vulnerabilidad en “pyshop” para Python Package Index (CVE-2013-1630)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
06/08/2013
Última modificación:
07/10/2013
Descripción
“pyshop” anterior a v0.7.1 utiliza HTTP para recuperar paquetes del repositorio PyPI, y no realiza comprobaciones de integridad en el contenido del paquete, que permite a atacantes man-in-the-middle ejecutar código arbitrario a través de una respuesta diseñada a una operación de descarga.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:guillaume_gauvrit:pyshop:*:*:*:*:*:*:*:* | 0.7 (incluyendo) | |
cpe:2.3:a:guillaume_gauvrit:pyshop:0.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:guillaume_gauvrit:pyshop:0.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:guillaume_gauvrit:pyshop:0.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:guillaume_gauvrit:pyshop:0.4:*:*:*:*:*:*:* | ||
cpe:2.3:a:guillaume_gauvrit:pyshop:0.5:*:*:*:*:*:*:* | ||
cpe:2.3:a:guillaume_gauvrit:pyshop:0.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página