Vulnerabilidad en Python (CVE-2008-5983)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-426
Ruta de búsqueda no confiable
Fecha de publicación:
28/01/2009
Última modificación:
09/04/2025
Descripción
Una vulnerabilidad de ruta de búsqueda no confiable en la función API PySys_SetArgv en Python versión 2.6 y anteriores, y posiblemente versiones posteriores, antepone una cadena vacía al archivo sys.path cuando el argumento argv [0] no contiene un separador de ruta, lo que podría permitir a los usuarios locales ejecutar código arbitrario por medio de un archivo Python de tipo caballo de Troya en el directorio de trabajo actual.
Impacto
Puntuación base 2.0
6.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 2.6.6 (excluyendo) | |
| cpe:2.3:a:python:python:*:*:*:*:*:*:*:* | 3.1.0 (incluyendo) | 3.1.3 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:13:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.fedoraproject.org/pipermail/package-announce/2010-June/042751.html
- http://secunia.com/advisories/34522
- http://secunia.com/advisories/40194
- http://secunia.com/advisories/42888
- http://secunia.com/advisories/50858
- http://secunia.com/advisories/51024
- http://secunia.com/advisories/51040
- http://secunia.com/advisories/51087
- http://security.gentoo.org/glsa/glsa-200903-41.xml
- http://security.gentoo.org/glsa/glsa-200904-06.xml
- http://www.mail-archive.com/debian-bugs-dist%40lists.debian.org/msg586010.html
- http://www.nabble.com/Bug-484305%3A-bicyclerepair%3A-bike.vim-imports-untrusted-python-files-from-cwd-td18848099.html
- http://www.openwall.com/lists/oss-security/2009/01/26/2
- http://www.openwall.com/lists/oss-security/2009/01/28/5
- http://www.openwall.com/lists/oss-security/2009/01/30/2
- http://www.redhat.com/support/errata/RHSA-2011-0027.html
- http://www.ubuntu.com/usn/USN-1596-1
- http://www.ubuntu.com/usn/USN-1613-1
- http://www.ubuntu.com/usn/USN-1613-2
- http://www.ubuntu.com/usn/USN-1616-1
- http://www.vupen.com/english/advisories/2010/1448
- http://www.vupen.com/english/advisories/2011/0122
- https://bugzilla.redhat.com/show_bug.cgi?id=482814
- http://lists.fedoraproject.org/pipermail/package-announce/2010-June/042751.html
- http://secunia.com/advisories/34522
- http://secunia.com/advisories/40194
- http://secunia.com/advisories/42888
- http://secunia.com/advisories/50858
- http://secunia.com/advisories/51024
- http://secunia.com/advisories/51040
- http://secunia.com/advisories/51087
- http://security.gentoo.org/glsa/glsa-200903-41.xml
- http://security.gentoo.org/glsa/glsa-200904-06.xml
- http://www.mail-archive.com/debian-bugs-dist%40lists.debian.org/msg586010.html
- http://www.nabble.com/Bug-484305%3A-bicyclerepair%3A-bike.vim-imports-untrusted-python-files-from-cwd-td18848099.html
- http://www.openwall.com/lists/oss-security/2009/01/26/2
- http://www.openwall.com/lists/oss-security/2009/01/28/5
- http://www.openwall.com/lists/oss-security/2009/01/30/2
- http://www.redhat.com/support/errata/RHSA-2011-0027.html
- http://www.ubuntu.com/usn/USN-1596-1
- http://www.ubuntu.com/usn/USN-1613-1
- http://www.ubuntu.com/usn/USN-1613-2
- http://www.ubuntu.com/usn/USN-1616-1
- http://www.vupen.com/english/advisories/2010/1448
- http://www.vupen.com/english/advisories/2011/0122
- https://bugzilla.redhat.com/show_bug.cgi?id=482814