Vulnerabilidad en python-docx (CVE-2016-5851)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
21/12/2016
Última modificación:
12/04/2025
Descripción
python-docx en versiones anteriores a 0.8.6 permite a atacantes dependientes del contexto llevar a cabo ataques de XXE a través de un documento manipulado.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:python-openxml_project:python-docx:*:*:*:*:*:*:*:* | 0.8.5 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2016/06/28/7
- http://www.openwall.com/lists/oss-security/2016/06/28/8
- http://www.securityfocus.com/bid/91485
- https://github.com/python-openxml/python-docx/blob/v0.8.6/HISTORY.rst
- https://github.com/python-openxml/python-docx/commit/61b40b161b64173ab8e362aec1fd197948431beb
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6FFMOH7ZPOPQWNJGUZOS5LXX4MGNRXXT/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XU2WSYRNB7CLBBFCGSX34XHACTA2SWDZ/
- http://www.openwall.com/lists/oss-security/2016/06/28/7
- http://www.openwall.com/lists/oss-security/2016/06/28/8
- http://www.securityfocus.com/bid/91485
- https://github.com/python-openxml/python-docx/blob/v0.8.6/HISTORY.rst
- https://github.com/python-openxml/python-docx/commit/61b40b161b64173ab8e362aec1fd197948431beb
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6FFMOH7ZPOPQWNJGUZOS5LXX4MGNRXXT/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XU2WSYRNB7CLBBFCGSX34XHACTA2SWDZ/