Vulnerabilidad en la configuración por defecto para bccache.FileSystemBytecodeCache en Jinja2 (CVE-2014-1402)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
19/05/2014
Última modificación:
12/04/2025
Descripción
La configuración por defecto para bccache.FileSystemBytecodeCache en Jinja2 anterior a 2.7.2 no crea debidamente archivos temporales, lo que permite a usuarios locales ganar privilegios a través de un archivo .cache manipulado con un nombre que empieza con __jinja2_ en /tmp.
Impacto
Puntuación base 2.0
4.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pocoo:jinja2:*:*:*:*:*:*:*:* | 2.7.1 (incluyendo) | |
| cpe:2.3:a:pocoo:jinja2:2.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoo:jinja2:2.5.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://advisories.mageia.org/MGASA-2014-0028.html
- http://jinja.pocoo.org/docs/changelog/
- http://openwall.com/lists/oss-security/2014/01/10/2
- http://openwall.com/lists/oss-security/2014/01/10/3
- http://rhn.redhat.com/errata/RHSA-2014-0747.html
- http://rhn.redhat.com/errata/RHSA-2014-0748.html
- http://secunia.com/advisories/56287
- http://secunia.com/advisories/58783
- http://secunia.com/advisories/58918
- http://secunia.com/advisories/59017
- http://secunia.com/advisories/60738
- http://secunia.com/advisories/60770
- http://www.gentoo.org/security/en/glsa/glsa-201408-13.xml
- http://www.mandriva.com/security/advisories?name=MDVSA-2014%3A096
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=734747
- https://bugzilla.redhat.com/show_bug.cgi?id=1051421
- https://oss.oracle.com/pipermail/el-errata/2014-June/004192.html
- http://advisories.mageia.org/MGASA-2014-0028.html
- http://jinja.pocoo.org/docs/changelog/
- http://openwall.com/lists/oss-security/2014/01/10/2
- http://openwall.com/lists/oss-security/2014/01/10/3
- http://rhn.redhat.com/errata/RHSA-2014-0747.html
- http://rhn.redhat.com/errata/RHSA-2014-0748.html
- http://secunia.com/advisories/56287
- http://secunia.com/advisories/58783
- http://secunia.com/advisories/58918
- http://secunia.com/advisories/59017
- http://secunia.com/advisories/60738
- http://secunia.com/advisories/60770
- http://www.gentoo.org/security/en/glsa/glsa-201408-13.xml
- http://www.mandriva.com/security/advisories?name=MDVSA-2014%3A096
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=734747
- https://bugzilla.redhat.com/show_bug.cgi?id=1051421
- https://oss.oracle.com/pipermail/el-errata/2014-June/004192.html